System Center Configuration Manager (SCCM), la solution de gestion centralisée de parc informatique de Microsoft, est une cible de choix lors d’une intrusion. Les travaux de recherche récents ont mis en exergue une multitude de chemins d’attaque dont la réussite facilite considérablement la compromission du domaine Active Directory et le mouvement latéral au sein du réseau. Dans le cadre d’exercices Red Team, SCCM a été à de multiples reprises un raccourci offrant un gain de temps salutaire à l’atteinte des objectifs finaux. Cet article a vocation à décrire le fonctionnement interne de certains mécanismes du produit et présenter des techniques d’exploitation développées au fil des missions Red Team. Dans le volet offensif, une vulnérabilité inédite, ayant fait l’objet d’une remontée à Microsoft, sera également abordée.
1. Introduction
Microsoft Configuration Manager (ConfigMgr), anciennement connu sous le nom de System Center Configuration Manager (SCCM), est une solution de gestion de systèmes informatiques éditée par Microsoft. ConfigMgr fait partie de la famille de produits Intune dont il est le composant on-premise.
Nous utiliserons le terme historique SCCM tout au long de cet article, car il est encore aujourd’hui majoritairement employé.
1.1 Terminologie
SCCM repose sur une structure hiérarchique composée de sites identifiés par un code à trois caractères. Les topologies les plus simples consistent en un site unique autonome tandis que les plus complexes se composent d’une arborescence de sites primaires et secondaires, ainsi que d’un site central d’administration à sa racine.
Tout serveur ayant un rôle SCCM sera désigné comme Site system server. Une installation minimale nécessitera le déploiement des rôles suivants, qui pourront être endossés par...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première