研究员发布微软SCCM配置不当攻防知识库

配置管理器 (MCM) 此前名为“系统中心配置管理器 (SCCM, ConfigMgr)”，诞生于1994年左右，目前出现在很多活动目录 (Active Directory) 环境中，帮助管理员管理 Windows 网络上的服务器和工作站。

十多年来，MCM作为攻击面已成为安全研究的对象，有助于对手获得 Windows 域名上的管理权限。

SpecterOps 公司的研究员 Chris Thompson 和 Duane Michael 在今天举行的SO-CON 安全大会上发布了“配置不当管理器 (Misconfiguration Manager)”仓库，所收录的攻击基于MCM配置不当情况，也为防御人员加固安全提供了资源。研究人员解释称，“我们的方法不止于分类已知对手的技术，还囊括渗透测试领域的贡献、红队运营和安全研究。”他们指出，MCM/SCCM的设置并非易事，很多默认配置可遭攻击者利用。

Michael 在一篇博客文章中提到，研究人员发现最常见且危害最大的配置不当情况是拥有太多权限的网络访问账号 (NAA)。

研究人员提到MCM/SCCM时表示，“配置相当不容易，新手或无所察觉的管理员或选择一切都选择同样的权限账号。”研究人员发现在一种场景下的攻击顺序是攻陷普通用户的 SharePoint账户成为域控制器，所有一切都归咎于配置不当的MCM的部署，而NAAs拥有过多权限。

为了进一步展示配置不当的 MCM/SCCM 部署带来的风险，研究人员说明了团队如何进入MCM/SCCM 数据库的中心管理站 (CAS) 并获得完全的管理员角色。

之后，他们进一步通过MCM攻陷该环境，执行了此前在域客户端上共享的网络上植入的payload。

配置不当管理器仓库由 Chris Thompson、Garrett Foster 和 Duane Michael 创建，目的是帮助管理员更好地了解微软的工具并“为防御人员简化 SCCM 攻击路径管理，同时为进攻型专业人员提供知识。”

目前，该仓库描述了可用于直接攻击MCM/SCCM或在利用后阶段使用的22种技术。根据环境的不同，这些技术可导致凭据访问 (CRED)、权限提升 (ELEVATE)、执行侦察和发现 (RECON) 或者获得MCM/SCCM层级的控制权 (TAKEOVER)。

对于每种攻击方法，研究人员还提供了防御所展示攻击技术的信息。防御措施分为三类：

鉴于MCM/SCCM 使用广泛且必须安装到 Active Directory 域中，如果配置不当可为企业带来风险，因此适用于有经验的管理员。尽管已经过创建人员的测试，但强烈建议管理员在生产环境中实现前，对仓库中提供的防御方法进行测试。