Notícias de dispositivos móveis, gadgets, aplicativos Android

Hackers sequestrando servidores Microsoft SQL para comprometer ambientes Azure

Os hackers frequentemente têm como alvo os servidores Microsoft SQL devido ao seu uso extensivo e possíveis pontos fracos.

Esses servidores são um dos principais alvos dos hackers que buscam obter lucros fixos, uma vez que esses criminosos os exploram para roubar informações privadas, iniciar ataques de ransomware ou obter acesso não autorizado aos sistemas.

Os especialistas em segurança cibernética da Microsoft descobriram recentemente uma mudança lateral inesperada para um ambiente de nuvem via SQL Server.

Anteriormente, essa abordagem era observada apenas em VMs e Kubernetes, e não no Microsoft SQL Server.

Seqüestrando servidores Microsoft SQL

Explorando uma falha de injeção de SQL, os invasores obtiveram acesso e permissões elevadas no SQL Server de uma VM do Azure. Eles então tentaram migrar lateralmente para outros recursos da nuvem usando a identidade do servidor.

Documento

As identidades em nuvem frequentemente têm direitos mais elevados, incluindo aqueles no SQL Server. Este ataque destaca como é crucial protegê-los para proteger o SQL Server e os recursos da nuvem contra acessos indesejados.

Vários Microsoft Defenders detectaram pela primeira vez o caminho de ataque relatado para alertas SQL, o que permitiu aos pesquisadores examinar a abordagem de movimento lateral da nuvem e implementar defesas adicionais sem ter acesso ao aplicativo visado.

Embora nenhuma evidência de movimentação lateral bem-sucedida para recursos da nuvem tenha sido encontrada, os defensores devem compreender essa técnica do SQL Server e tomar medidas de mitigação.

À medida que as organizações migram para a nuvem, surgem novas técnicas de ataque baseadas na nuvem, principalmente no movimento lateral do local para a nuvem.

Os invasores usam identidades de nuvem gerenciadas, como as do Azure, em sistemas de nuvem como meio de mobilidade lateral. Estas identidades oferecem conveniência, mas os perigos de segurança também estão presentes.

Nós recomendamos:  10 melhores softwares de mapeamento mental para Mac (gratuito e pago)

Técnica Conhecida

Embora o ataque tenha utilizado estratégias convencionais do SQL Server, a mudança lateral do SQL Server foi nova. Várias consultas foram então usadas para coletar informações de host, banco de dados e rede após a primeira injeção de SQL que concedeu acesso.

A seguir, mencionamos as informações coletadas pelos invasores: –

  • Bancos de dados
  • Nomes de tabelas e esquema
  • Versão do banco de dados
  • Configuração de rede
  • Permissões de leitura
  • Permissões de gravação
  • Excluir permissões

Pesquisadores sugerem o aplicativo alvo provavelmente tinha permissões elevadas, concedendo aos invasores acesso semelhante. Eles ativaram o xp_cmdshell para executar comandos do sistema operacional por meio de consultas SQL, que foram inicialmente desabilitadas.

Os invasores obtiveram acesso ao host após ativar o xp_cmdshell e executar comandos do sistema operacional. Através de um trabalho agendado, eles coletaram informações, baixaram scripts codificados e preservaram a persistência. Além disso, eles fizeram um esforço para obter credenciais vazando chaves de registro.

Os atores da ameaça empregaram um método exclusivo de exfiltração de dados usando ‘webhook.site’, um serviço acessível publicamente. Esta abordagem secreta permitiu-lhes transmitir dados discretamente.

Eles também tentaram acessar a identidade na nuvem da instância do SQL Server por meio do IMDS para obter a chave de acesso, aproveitando uma técnica familiar em um ambiente distinto.

A solicitação para o ponto final da identidade IMDS recupera as credenciais de segurança da identidade na nuvem. Embora os atacantes tenham falhado aqui, esta técnica pode permitir o movimento lateral.

Este método é um uso desconhecido de identidades de nuvem em instâncias do SQL Server, destacando o cenário em evolução das ameaças baseadas na nuvem.