SCCM : techniques d’exploitation pour les intrusions Red Team
System Center Configuration Manager (SCCM), la solution de gestion centralisée de parc informatique de Microsoft, est une cible de choix lors d’une intrusion. Les travaux de recherche récents ont mis en exergue une multitude de chemins d’attaque dont la réussite facilite considérablement la compromission du domaine Active Directory et le mouvement latéral au sein du réseau. Dans le cadre d’exercices Red Team, SCCM a été à de multiples reprises un raccourci offrant un gain de temps salutaire à l’atteinte des objectifs finaux. Cet article a vocation à décrire le fonctionnement interne de certains mécanismes du produit et présenter des techniques d’exploitation développées au fil des missions Red Team. Dans le volet offensif, une vulnérabilité inédite, ayant fait l’objet d’une remontée à Microsoft, sera également abordée.