Έχουν παρατηρηθεί χάκερ που προσπαθούν να παραβιάσουν περιβάλλοντα
cloud
μέσω των Microsoft SQL
Servers
που είναι ευάλωτοι στην ένεση SQL.
Οι ερευνητές ασφαλείας της Microsoft αναφέρουν ό
τι
αυτή η τεχνική πλευρικής κίνησης είχε προηγουμένως παρατηρηθεί σε επιθέσεις σε άλλες υπηρεσίες όπως τα VM και τα συμπλέγματα Kubernetes.
Ωστόσο, αυτή είναι η πρώτη φορά που έχουν δει SQL Servers να χρησιμοποιούνται για αυτόν τον σκοπό.
Αλυσίδα επίθεσης
Οι επιθέσεις που παρατήρησε η Microsoft ξεκινούν με την εκμετάλλευση μιας ευπάθειας SQL injection σε μια
εφαρμογή
στο περιβάλλον του στόχου.
Αυτό επιτρέπει στους παράγοντες απειλών να αποκτήσουν πρόσβαση στην παρουσία του SQL Server που φιλοξενείται στην εικονική μηχανή Azure με αυξημένα δικαιώματα για την εκτέλεση εντολών SQL και την εξαγωγή πολύτιμων δεδομένων.
Αυτό περιλαμβάνει δεδομένα για βάσεις δεδομένων, ονόματα πινάκων, σχήματα, εκδόσεις βάσης δεδομένων, διαμόρφωση δικτύου και δικαιώματα ανάγνωσης/εγγραφής/διαγραφής.
Εάν η παραβιασμένη εφαρμογή έχει αυξημένα δικαιώματα, οι εισβολείς μπορούν να ενεργοποιήσουν την εντολή ‘xp_cmdshell’ για να εκτελέσουν εντολές λειτουργικού συστήματος (OS) μέσω SQL, δίνοντάς τους ένα κέλυφος στον κεντρικό υπολογιστή.
Οι εντολές που εκτελούνται από τους εισβολείς σε αυτό το στάδιο περιλαμβάνουν τις εξής:
- Διαβάστε καταλόγους, λίστα διεργασιών και ελέγξτε τα κοινόχρηστα στοιχεία δικτύου.
- Κατεβάστε κωδικοποιημένα και συμπιεσμένα εκτελέσιμα και σενάρια PowerShell.
- Ρυθμίστε μια προγραμματισμένη εργασία για την εκκίνηση ενός σεναρίου backdoor.
- Ανακτήστε τα διαπιστευτήρια χρήστη απορρίπτοντας τα κλειδιά μητρώου SAM και SECURITY.
- Διηθήστε δεδομένα χρησιμοποιώντας μια μοναδική μέθοδο που περιλαμβάνει τη δωρεάν υπηρεσία «webhook.site», η οποία διευκολύνει την επιθεώρηση και τον εντοπισμό σφαλμάτων αιτημάτων HTTP και email.
Η χρήση μιας νόμιμης υπηρεσίας για τη διείσδυση δεδομένων καθιστά τη δραστηριότητα λιγότερο πιθανό να φαίνεται ύποπτη ή να σηκώσει τυχόν σημαίες από
προϊόντα
ασφαλείας, επιτρέποντας στους εισβολείς να κλέψουν διακριτικά δεδομένα από τον κεντρικό υπολογιστή.
Στη συνέχεια, οι εισβολείς προσπάθησαν να εκμεταλλευτούν την ταυτότητα cloud της παρουσίας του SQL Server για να αποκτήσουν πρόσβαση στην υπηρεσία IMDS (Instant Metadata Service) και να αποκτήσουν το κλειδί πρόσβασης ταυτότητας cloud.
Στο Azure, οι πόροι εκχωρούνται συχνά διαχειριζόμενες ταυτότητες για έλεγχο ταυτότητας με άλλους πόρους και υπηρεσίες cloud. Εάν οι εισβολείς διαθέτουν αυτό το διακριτικό, μπορούν να το χρησιμοποιήσουν για να αποκτήσουν πρόσβαση σε οποιονδήποτε πόρο cloud στον οποίο έχει δικαιώματα η ταυτότητα.
Η Microsoft λέει ότι οι εισβολείς απέτυχαν να αξιοποιήσουν με επιτυχία αυτήν την τεχνική λόγω σφαλμάτων, αλλά η προσέγγιση παραμένει έγκυρη και αποτελεί τρομερή απειλή για τους οργανισμούς.
Τέλος, οι φορείς απειλών διέγραψαν τυχόν ληφθέντα σενάρια και διέγραψαν τις προσωρινές τροποποιήσεις της βάσης δεδομένων για να διαγράψουν τα ίχνη της επίθεσης.
Πλήρες διάγραμμα αλυσίδας επίθεσης
(Microsoft)
Αμυντικές συμβουλές
Η Microsoft προτείνει να χρησιμοποιήσετε το Defender για το Cloud και το Defender για το Endpoint για να συλλάβετε τις ενέσεις SQL και την ύποπτη δραστηριότητα SQLCMD, που χρησιμοποιούνται στην παρατηρούμενη επίθεση.
Για τον μετριασμό της απειλής, η Microsoft συνιστά την εφαρμογή της αρχής του ελάχιστου προνομίου κατά τη χορήγηση αδειών χρήστη, η οποία πάντα προσθέτει τριβή στις προσπάθειες πλευρικής μετακίνησης.
Ερωτήματα κυνηγιού για 365 Defender και Sentinel παρέχονται στο παράρτημα του
έκθεση της Microsoft
.