Microsoft advarer om cyberangreb, der forsøger at bryde ind i skyen via SQL Server-instans.
Microsoft har detaljeret en ny kampagne, hvor angribere uden succes forsøgte at bevæge sig lateralt til en sky-miljø gennem en SQL Server-instans.
Sikkerhedsforskere Sunders Bruskin, Hagai Ran Kestenberg og Fady Nasereldeen sagde i en rapport tirsdag: "Angriberne udnyttede oprindeligt en SQL-injektionsårbarhed i en applikation inden for målets miljø - Dette gjorde det muligt for angriberen at få adgang og forhøjede tilladelser til en Microsoft SQL Server-instans, der var udrullet i en Azure Virtual Machine (VM)."
I næste fase udnyttede trusselsaktørerne de nye tilladelser til at forsøge at bevæge sig lateralt til yderligere skyressourcer ved at misbruge serverens sky-identitet, som muligvis har forhøjede tilladelser til at udføre forskellige skadelige handlinger i skyen, som identiteten har adgang til. Microsoft sagde, at de ikke fandt nogen beviser for, at angriberne succesfuldt bevægede sig lateralt til skyressourcer ved hjælp af teknikken.
"Skytjenester som Azure bruger administrerede identiteter til at tildele identiteter til de forskellige skyressourcer" sagde forskerne. "Disse identiteter bruges til godkendelse med andre skyressourcer og -tjenester."
Angrebskædens startpunkt er en SQL-injektion mod databaseserveren, der giver angriberen mulighed for at køre forespørgsler for at indsamle oplysninger om værten, databaserne og netværkskonfigurationen.
"Dette er en teknik, vi er bekendt med i andre skytjenester som VM'er og Kubernetes-klynger, men ikke har set før i SQL Server-instanser" Microsoft sikkerhedsforskere
I de observerede indtrængninger mistænkes det, at applikationen, der blev målrettet med SQL-injektionsårbarheden, havde forhøjede tilladelser, hvilket tillod angriberne at aktivere xp_cmdshell-optionen for at starte operativsystemkommandoer for at gå videre til næste fase. Dette inkluderede gennemførelse af rekognoscering, download af eksekverbare filer og PowerShell-scripts samt etablering af vedvarende adgang via en planlagt opgave for at starte et bagdørsscript.
Dataeksfiltration opnås ved at udnytte et offentligt tilgængeligt værktøj kaldet webhook[.]site i et forsøg på at forblive under radaren, da udgående trafik til tjenesten betragtes som legitim og usandsynlig at blive markeret.
"Angriberne forsøgte at udnytte skyidentiteten på SQL Server-instansen ved at få adgang til [instans-metadata-tjenesten] og få adgang til skyidentitetsadgangsnøglen," sagde forskerne. "Anmodningen til IMDS-identitetens slutpunkt returnerer sikkerhedskredentialer (identitetstoken) for skyidentiteten." Målet med operationen synes at have været at misbruge tokenet til at udføre forskellige operationer på skyressourcer, herunder lateral bevægelse på tværs af skyen, skønt det endte i fiasko på grund af en uspecificeret fejl.
Udviklingen understreger den voksende sofistikering af skybaserede angrebsteknikker, hvor skadelige aktører konstant er på udkig efter overprivilegerede processer, konti, administrerede identiteter og databaseforbindelser for at udføre yderligere skadelige aktiviteter.
"Dette er en teknik, vi er bekendt med i andre skytjenester som VM'er og Kubernetes-klynger, men ikke har set før i SQL Server-instanser" konkluderede forskerne.
"At sikre cloud-identiteter ordentligt kan udsætte SQL Server-instanser og skyressourcer for lignende risici. Denne metode giver angribere mulighed for at opnå større indflydelse ikke kun på SQL Server-instanser, men også på de tilknyttede skyressourcer."
Udviklingen kommer uger efter, at AhnLab Security Emergency Response Center (ASEC) afslørede, at dårligt sikrede MS SQL-serverinstanser er målet for en ny variant af Gh0st RAT kaldet HiddenGh0st, der installerer Hidden, en åben kildekode rootkit, der tilbyder evnen til at "skjule tilstedeværelsen af malwareinfektioner fra brugere eller hindre fjernelse af malware."