Open-Source-Scanner kann riskante Microsoft SCCM-Konfigurationen identifizieren

Ein Forscher, der bei der Zusammenstellung der Wissensdatenbank über häufige Fehlkonfigurationen in SCCM geholfen hat, veröffentlicht den Scanner MisconfigurationManager.ps1.

Einer der Forscher, die vor kurzem eine Wissensdatenbank über häufige Fehlkonfigurationen und Angriffstechniken mit Auswirkungen auf Microsoft System Center Configuration Manager (SCCM) zusammengestellt haben, hat einen Open-Source-Scanner entwickelt, mit dem Administratoren diese Schwachstellen in ihren SCCM-Umgebungen leichter erkennen können.

Obwohl wir in der Wissensdatenbank detailliert beschrieben haben, wie jeder dieser Angriffe ausgeführt, entschärft und erkannt werden kann, haben wir in unseren Gesprächen mit Verteidigern und SCCM-Administratoren bald erkannt, dass nicht jeder die Bandbreite, die Privilegien oder die Erlaubnis hat, diese Angriffe in seinem Unternehmen zu demonstrieren.

Der beste Rat, den wir damals geben konnten, war, jemanden mit SCCM-Rechten zu bitten, die Umgebung manuell auf Fehlkonfigurationen zu überprüfen... bis jetzt!"

SCCM-Scanner MisconfigurationManager.ps1

Sein neuer Scanner ist als PowerShell-Skript namens MisconfigurationManager.ps1 implementiert und steht auf GitHub zur Verfügung. Im Moment ist es in der Lage, unsichere Konfigurationen zu identifizieren, die acht der neun in der Wissensdatenbank beschriebenen SCCM-Übernahmeverfahren ermöglichen, sowie zwei Verfahren, die zur Privilegienerweiterung und für laterale Bewegungen genutzt werden können.

Die Wissensdatenbank Misconfiguration Manager, die ebenfalls auf GitHub verfügbar ist, gliedert die dokumentierten SCCM-Angriffstechniken in mehrere Kategorien: CRED, fünf Techniken, die für verschiedene Arten der Extraktion von Anmeldeinformationen verwendet werden können; ELEVATE, zwei Techniken, die für Privilegienerweiterung und Lateral Movement verwendet werden können; EXEC, zwei Techniken für Remotecodeausführung; RECON, fünf Techniken zur Identifizierung von SCCM-Systemen; und TAKEOVER, acht Techniken, die zur Übernahme einer SCCM-Hierarchie verwendet werden können, was in der Regel zu einer vollständigen Domänenkontrolle führt.

Die Wissensdatenbank enthält auch Artikel zur Verteidigung, die in die Kategorien PREVENT, DETECT und CANARY unterteilt sind und Konfigurationsänderungen an SCCM abdecken, die eine bestimmte Angriffstechnik direkt entschärfen können.

Thompson plant, seinen Scanner weiter auszubauen, um auch die letzte TAKEOVER-Technik sowie die CRED-Angriffe abzudecken, und möchte ihn in der PowerShell Gallery, dem offiziellen Repository für PowerShell-Skripte, veröffentlichen.

Das Skript kann mit jeder Sicherheitsrolle in SCCM (einschließlich Read-Only-Analyst) gegen jeden SMS-Anbieter ausgeführt werden und nutzt die Windows Management Instrumentation (WMI), um mit WMI, der Registrierung und dem Service Control Manager auf den Systemen zu interagieren, die Teil einer SCCM-Site sind. Thompson rät den Benutzern, das Programm mit lokalen Administratorrechten und Netzwerkkonnektivität zu RPC und SMB auf den Systemen vor Ort auszuführen, um Fehlalarme zu vermeiden und die genauesten Ergebnisse zu erhalten.

SCCM ermöglicht es Systemadministratoren, Anwendungen, Software-Updates, Betriebssysteme und Konformitätseinstellungen aus der Ferne auf einer Vielzahl von Windows-Servern und -Workstations bereitzustellen. Es handelt sich um eine Microsoft-Technologie, die seit fast 30 Jahren unter verschiedenen Namen existiert und in Active Directory-Umgebungen sehr weit verbreitet ist. Dies bedeutet auch, dass die Technologie eine große Menge technischer Schulden aus vielen Jahren der Entwicklung aufweist, wobei viele ihrer Standardkonfigurationen laut den SpecterOps-Spezialisten, die regelmäßig Penetrationstests und Red-Team-Einsätze durchführen, unsicher sind.

Viele andere Forscher haben im Laufe der Jahre Sicherheitsrisiken und Angriffe auf SCCM dokumentiert und dabei hervorgehoben, dass SCCM eine oft übersehene Angriffsfläche darstellt. Erst vor zwei Wochen haben Forscher von GuidePoint Security eine Methode zur Kompromittierung des SCCM-Client-Push-Kontos und des SCCM-Maschinenkontos vorgestellt, die zu einer vollständigen Übernahme der SCCM-Site führen kann.