configuration-manager

# Configuration Manager > [!high] Microsoft Configuration Manager (SCCM/MECM) — plataforma de gestão de endpoints com SQL injection crítico sem autenticação, usada em intrusões multi-estágio como vetor de acesso a toda a infraestrutura gerenciada. ## Visão Geral **Microsoft Configuration Manager** — também conhecido como **SCCM** (System Center Configuration Manager) e atualmente como **MECM** (Microsoft Endpoint Configuration Manager) — é a plataforma corporativa da [[_microsoft|Microsoft]] para gerenciamento centralizado de dispositivos Windows, distribuição de software, aplicação de políticas e patches, e gerenciamento de conformidade. Presente em práticamente toda grande organização que opera ambientes Windows em escala, o SCCM/MECM é um componente crítico de infraestrutura: por design, ele tem permissão para instalar software e executar scripts em todos os endpoints gerenciados. Em outubro de 2024, [[cve-2024-43468|CVE-2024-43468]] (CVSS 9.8) expôs uma vulnerabilidade de **SQL injection não autenticado** no servidor de gerenciamento central do MECM. Um atacante com acesso de rede ao servidor podia enviar requisições maliciosas que injetavam comandos SQL processados com privilégios elevados, resultando em execução de código no servidor de gerenciamento. O impacto é máximo: comprometer o servidor MECM equivale a comprometer toda a frota de endpoints gerenciados por ele. Pesquisadores de segurança documentaram o uso do CVE-2024-43468 em intrusões multi-estágio combinadas com o [[web-help-desk|SolarWinds Web Help Desk]] como ponto de entrada inicial — o service desk fornecia o pivot de rede para alcançar o servidor MECM isolado. Esse padrão de encadeamento de vulnerabilidades em produtos de gerenciamento de TI é característico de grupos APT que buscam acesso persistente de longa duração. > [!latam] Relevância Brasil/LATAM > Grandes corporações brasileiras nos setores financeiro, industrial e governamental usam SCCM/MECM extensivamente. A exploração do servidor MECM pode resultar em distribuição de malware para toda a frota gerenciada, persistência silenciosa e exfiltração de inventário completo de ativos de TI. ## Vulnerabilidades Conhecidas | CVE | CVSS | Exploração | Patch | Data | |-----|------|------------|-------|------| | [[cve-2024-43468\|CVE-2024-43468]] | 9.8 | Ativa - SQL injection não autenticado, acesso à frota gerenciada | Sim | 2024-10 | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", cve-id AS "CVE", cvss-score AS "CVSS", exploit-type AS "Exploração", patch-date AS "Patch" FROM "vulnerabilities" WHERE contains(product, "Configuration Manager") SORT patch-date DESC ``` %% ## TTPs Associadas - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - SQL injection no endpoint MECM - [[t1072-software-deployment-tools|T1072 - Software Deployment Tools]] - MECM comprometido usado para distribuir malware - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - escalada via serviço MECM com privilégios elevados - [[t1210-exploitation-of-remote-services|T1210 - Exploitation of Remote Services]] - movimentação lateral para endpoints gerenciados ## Detecção e Defesa - Aplicar o patch do Patch Tuesday de outubro 2024 imediatamente se não aplicado - Restringir acesso de rede ao servidor MECM apenas a IPs de administração - Monitorar logs do SQL Server do MECM por queries anômalas e erros de parsing - Revisar coleções e deployments ativos para detectar distribuições não autorizadas - Aplicar [[m1026-privileged-account-management|M1026 - Privileged Account Management]] para contas de serviço MECM - Segmentar o servidor MECM em VLAN administrativa com acesso rigorosamente controlado - Considerar migração para **Microsoft Intune** (cloud) que não possui essa superfície de ataque ## Setores Afetados - [[financial|Financeiro]] - gerenciamento de frotas de endpoints em bancos e seguradoras - [[government|Governo]] - administração de endpoints em órgãos federais e estaduais - [[manufacturing|Indústria]] - gerenciamento de workstations em plantas industriais - [[healthcare|Saúde]] - gestão de dispositivos em redes hospitalares ## Referências - [Microsoft Security Update Guide - CVE-2024-43468](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43468) - [NVD - CVE-2024-43468](https://nvd.nist.gov/vuln/detail/CVE-2024-43468) - [MECM Security Hardening Guide - Microsoft](https://learn.microsoft.com/en-us/mem/configmgr/core/plan-design/security/plan-for-security) ## Notas Relacionadas **Vendor:** [[_microsoft|Microsoft]] **Produto relacionado:** [[web-help-desk|SolarWinds Web Help Desk]] (ponto de entrada em ataques encadeados) **CVEs:** [[cve-2024-43468|CVE-2024-43468]] **TTPs:** [[t1190-exploit-public-facing-application|T1190]], [[t1072-software-deployment-tools|T1072]], [[t1068-exploitation-for-privilege-escalation|T1068]] **Setores:** [[financial|Financeiro]], [[government|Governo]], [[manufacturing|Indústria]]