Misconfiguration Manager: библия кибербезопасности для администраторов Windows

Группа исследователей из компании SpecterOps анонсировала выпуск Misconfiguration Manager — обширного репозитория с описанием методов атак и защиты для среды Microsoft Configuration Manager (MCM). Этот продукт, ранее известный как System Center Configuration Manager (SCCM), помогает администраторам управлять серверами и рабочими станциями в доменах Windows с 1994 года, но при этом часто неправильно настраивается, создавая риски для безопасности.

Презентация Misconfiguration Manager состоялась на конференции SO-CON . Авторы репозитория — исследователи из SpecterOps: Крис Томпсон, Гаррет Фостер и Дуан Майкл. Как поясняют специалисты, их подход выходит за рамки простого описания тактик, используемых известными злоумышленниками. Репозиторий включает в себя также методы, разработанные в ходе пентестов, операций "красных команд" и независимых исследований в области безопасности.

В блоге Дуана Майкла приводятся примеры самых распространенных и опасных ошибок конфигурации MCM, с которыми сталкиваются эксперты. Среди них — предоставление учетным записям сетевого доступа (Network Access Accounts, NAA) чрезмерных привилегий. Новички или неопытные администраторы зачастую используют одну привилегированную учетную запись для всех служб MCM.

В одном из случаев исследователям удалось проследить цепочку от компрометации аккаунта стандартного пользователя SharePoint до захвата доменного контроллера — исключительно из-за ошибок при развертывании MCM с привилегированными NAA.

Еще одной распространенной проблемой является ситуация, когда доменные контроллеры регистрируются в качестве клиентских устройств в инфраструктуре MCM. При неправильной настройке иерархии это открывает возможность для удаленного выполнения кода

В ходе другого теста команде SpecterOps удалось проникнуть в центральную базу данных административного сайта MCM и назначить себе роль администратора с полными правами. После этого, используя функционал самого MCM, они смогли запустить вредоносный код, заранее размещенный в сетевой папке на одном из компьютеров в домене.

Репозиторий Misconfiguration Manager описывает 22 метода атаки, которые могут применяться для прямого взлома MCM или вторичной эксплуатации среды. Техники разделены по типам: доступ к учетным данным, повышение привилегий, сбор разведданных и захват инфраструктуры.

Для каждого вектора угроз авторы предлагают методы защиты, разделенные на три категории:

• Предотвращение (PREVENT) — изменения конфигурации для нейтрализации конкретного метода.

• Обнаружение (DETECT) — рекомендации по выявлению следов атаки.

• Канарейки (CANARY) — стратегии обнаружения с использованием своеобразных «приманок» для злоумышленников.

Учитывая необходимость развертывания MCM в доменной среде Windows, а также его широкое распространение, неправильная настройка этого продукта может серьезно снизить уровень безопасности компании. Корректная конфигурация MCM - задача, которая под силу только очень опытным администраторам.

Авторы Misconfiguration Manager призывают тщательно тестировать описанные методы защиты перед внедрением их в промышленную эксплуатацию.