Il System Center Configuration Manager (SCCM), ora incluso in Microsoft Endpoint Configuration Manager (MECM), è comunemente utilizzato negli ambienti enterprise per distribuire, aggiornare e gestire il software, su client e server.
Ad esempio, può essere utilizzato per fornire una lista di programmi che, determinati gruppi di utenti, possono autonomamente installare sui client; oppure può essere utilizzato per effettuare il deploy di un pacchetto software pre-custom dall’IT; o, ancora, per distribuire immagini di un determinato Sistema Operativo, etc…
Per effettuare le molteplici operazioni, si avvale anche di un client installato in locale sulle macchine.
Il tool PXEThief sfrutta differenti pattern di attacco discussi al DEF CON 30.
Il client del Configuration Manager cerca in prima istanza di scaricare i contenuti utilizzando l’account di sistema. Se fallisce, prova automaticamente con il Network Access Account. L’ SCCM utilizza, inoltre, degli accounts per il deploy dei sistemi operativi, chiamati Task Sequence Accounts. Ad esempio, il “Task sequence domain join account” viene utilizzato per effettuare il join di una nuova installazione, fatta attraverso “immagine”, del computer al dominio.
Il tool consente inoltre di esfiltrare le credenziali dai Network Access e dai Task Sequence Accounts.
JoinTheQuest!
Download al link: https://github.com/MWR-CyberSec/PXEThief
