Ajouter à une liste de lectureLors d’un test d’intrusion interne, il est courant de rencontrer des applications servant à la gestion et à la surveillance du parc informatique. Parmi ces solutions, nous trouvons parfois celle de Microsoft, le System Center Configuration Manager (SCCM). L’article qui va suivre a pour objectif de faire un état de l’art de la sécurité offensive sur ce produit, en présentant les différentes attaques le ciblant, et permettant à un attaquant ayant un accès au réseau interne d’en réaliser une reconnaissance, de gagner en privilèges et de se propager sur le réseau.
Les attaques contre SCCM qui vont être présentées ici nécessitent a minima la possession d’identifiants utilisateurs valides sur le domaine Active Directory, ou l’accès à une machine enrôlée sur le domaine. En fin d’article, des pistes de réflexion seront apportées pour se prémunir des attaques identifiées.
Les attaques et outils présentés dans cet article ont, pour la grande majorité, été découverts et développés par les équipes de l’entreprise SpecterOps. Et plus particulièrement par Chris Thompson (@_Mayyhem), qui est à l’origine de l’outil SharpSCCM (https://github.com/Mayyhem/SharpSCCM) (qui sera présenté par la suite) et de nombreuses recherches.
Avant d’aborder l’aspect sécurité offensive des environnements SCCM, il est intéressant de faire un rappel sur ce qu’est SCCM, à quoi cela sert et comment cela fonctionne.
1. Présentation de la solution SCCM
System Center…
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première