Descubrir que una herramienta diseñada para fortalecer la infraestructura de TI podría inadvertidamente facilitar el acceso a los ciberdelincuentes es preocupante para cualquier organización. Recientes hallazgos sobre Microsoft System Center Configuration Manager (SCCM) destacan esta paradójica situación. SCCM, reconocida por optimizar la gestión de dispositivos y aplicaciones, también puede exponer vulnerabilidades críticas debido a errores de configuración.
El equipo de SpecterOps, integrado por los investigadores Chris Thompson y Duane Michael, ha lanzado "Misconfiguration Manager", un compendio dedicado a explorar y documentar las estrategias de ataque y defensa en torno a las configuraciones erróneas del Configuration Manager de Microsoft (MCM), conocido previamente como System Center Configuration Manager (SCCM, ConfigMgr). Este recurso surge como respuesta a la potencial explotación de vulnerabilidades por parte de atacantes, quienes podrían ejecutar código malicioso o incluso tomar control de dominios debido a configuraciones inadecuadas.
Desde su creación en 1994, MCM ha sido una herramienta esencial en numerosos entornos de Active Directory, facilitando la gestión de servidores y estaciones de trabajo dentro de redes Windows. Sin embargo, también ha sido identificado como un vector de ataque potencial que, mal configurado, podría conceder a los adversarios privilegios administrativos en dominios Windows. Este aspecto ha captado la atención de la comunidad de seguridad informática por más de una década.
Durante la conferencia de seguridad SO-CON, Thompson y Michael presentaron "Misconfiguration Manager" como un repositorio que recopila tácticas de ataque basadas en configuraciones defectuosas de MCM, al tiempo que ofrece valiosos recursos para que los profesionales de seguridad fortalezcan sus defensas. Este proyecto busca trascender el simple análisis de técnicas de adversarios reconocidos para incluir hallazgos de pruebas de penetración, operaciones de equipos rojos y otras investigaciones de seguridad.
Los investigadores de SpecterOps destacan la complejidad inherente a la correcta configuración de MCM/SCCM, señalando que muchas configuraciones por defecto pueden dejar brechas aprovechables por los atacantes. Este esfuerzo conjunto pretende no solo arrojar luz sobre estas vulnerabilidades, sino también promover un enfoque más seguro y consciente en la gestión de las configuraciones del sistema.
Conoce más sobre: Pentesting vs Análisis de Vulnerabilidades
En una entrada de blog, Michael destacó la configuración incorrecta que comúnmente encuentran los investigadores y que resulta ser la más perjudicial: el uso de Cuentas de Acceso a la Red (NAA) con privilegios excesivos.
El desafío con MCM/SCCM, radica en su complejidad de configuración. Esto puede llevar a que administradores novatos o poco familiarizados terminen utilizando una única cuenta con altos privilegios para múltiples funciones, incrementando el riesgo de seguridad.
En su experiencia, han observado situaciones donde, partiendo de la cuenta de SharePoint de un usuario común, han logrado escalar privilegios hasta obtener el control total del dominio, todo ello como consecuencia de una implementación deficiente de MCM que utilizaba NAA sobredimensionadas.
Michael también mencionó otro riesgo asociado con sitios de Configuration Manager que permiten registrar controladores de dominio como clientes. Esta práctica puede abrir la puerta a la ejecución remota de código si la configuración de la jerarquía del sitio no se maneja adecuadamente.
Para ilustrar aún más los peligros de una implementación inadecuada de MCM/SCCM, compartió un caso en el que lograron acceder a la base de datos de la Central Administration Site (CAS) y asignarse roles de administrador completo. Con ese nivel de acceso, el equipo pudo comprometer aún más el entorno, utilizando Configuration Manager para ejecutar una carga maliciosa almacenada previamente en un recurso compartido de red en un cliente del dominio.
Te podrá interesar: Vulnerabilidades RCE en 2023: Principales Explotaciones
El repositorio "Misconfiguration Manager", desarrollado por Chris Thompson, Garrett Foster y Duane Michael, busca dotar a los administradores de una mayor comprensión sobre la herramienta de Microsoft. Su meta es facilitar la gestión de posibles vectores de ataque relacionados con SCCM para los equipos de defensa, al mismo tiempo que brinda formación a los especialistas en ciberataques sobre este complejo ámbito.
Actualmente, este recurso detalla 22 métodos que podrían emplearse para lanzar ataques dirigidos a MCM/SCCM o para explotarlo durante fases avanzadas de un ataque cibernético.
Estas técnicas podrían posibilitar desde el acceso a credenciales (CRED) y la elevación de privilegios (ELEVATE), hasta la realización de tareas de reconocimiento (RECON) o incluso tomar el control completo de la jerarquía de MCM/SCCM (TAKEOVER), variando según el contexto del entorno atacado.
Para contrarrestar cada una de estas estrategias ofensivas, los investigadores ofrecen recomendaciones específicas para salvaguardar los sistemas.
Las medidas de defensa se clasifican en tres grandes grupos:
Dada su amplia adopción y la necesidad de integrarse en un dominio de Active Directory, una configuración incorrecta de MCM/SCCM puede debilitar significativamente la seguridad de una organización, representando una tarea crítica para administradores con experiencia.
Las herramientas de gestión de sistemas como Microsoft SCCM son esenciales para la administración eficiente de los recursos de IT en las organizaciones modernas. Sin embargo, su eficacia puede verse comprometida si no se configuran correctamente. Las configuraciones erróneas no solo aumentan el riesgo de ciberataques, sino que también pueden tener consecuencias catastróficas para la seguridad de los datos y la continuidad del negocio.
Por lo tanto, es imperativo que las organizaciones adopten un enfoque proactivo para asegurar sus entornos SCCM, mediante la educación continua, la revisión regular y la aplicación de las mejores prácticas de seguridad. Al hacerlo, pueden protegerse contra las amenazas cibernéticas y asegurar la integridad de sus operaciones.
Implementar estas medidas no solo ayudará a mitigar los riesgos asociados con las configuraciones erróneas, sino que también reforzará la postura general de seguridad de la organización contra un panorama de amenazas en constante evolución. La seguridad informática es un proceso continuo, y al mantenerse informados y preparados, las organizaciones pueden defenderse eficazmente contra los ataques cibernéticos.