Microsoft Alerta Sobre Tentativas de Ataques Cibernéticos Através de Instâncias SQL Server

Microsoft Alerta Sobre Tentativas de Ataques Cibernéticos Através de Instâncias SQL Server

Em recentes declarações, a Microsoft revelou uma tentativa de ataque cibernético em que os atacantes tentaram, sem sucesso, acessar ambientes em nuvem através de uma instância SQL Server.

Conforme detalhado pelos pesquisadores de segurança Sunders Bruskin, Hagai Ran Kestenberg e Fady Nasereldeen, os atacantes exploraram inicialmente uma vulnerabilidade de injeção SQL em uma aplicação dentro do ambiente alvo. “Isso permitiu que eles obtivessem acesso e permissões elevadas em uma instância do Microsoft SQL Server, implantada no Azure Virtual Machine (VM)”, explicaram.

Com essas novas permissões, os atacantes tentaram se mover lateralmente para outros recursos na nuvem. Eles buscaram abusar da identidade em nuvem do servidor, que poderia possuir permissões elevadas para executar várias ações maliciosas na nuvem.

Contudo, a Microsoft afirmou que não encontrou evidências de que os atacantes conseguiram mover-se lateralmente usando essa técnica. Os pesquisadores ressaltaram: “Serviços de nuvem como o Azure utilizam identidades gerenciadas para atribuir identidades a vários recursos em nuvem. Essas identidades são usadas para autenticação com outros recursos e serviços na nuvem.”

Injection

A injeção SQL contra o servidor de banco de dados foi o ponto inicial da cadeia de ataque. Ela permitiu ao adversário executar consultas para coletar informações sobre o host, bancos de dados e configuração de rede. Suspeita-se que a aplicação visada tinha permissões elevadas, o que possibilitou aos atacantes ativar a opção xp_cmdshell e assim lançar comandos no sistema operacional para avançar no ataque.

Os passos seguintes envolveram reconhecimento, download de executáveis e scripts do PowerShell, e a criação de persistência através de uma tarefa agendada.

Para exfiltrar dados, os atacantes se beneficiaram de uma ferramenta pública chamada webhook[.]site, que provavelmente não seria sinalizada como suspeita. Os pesquisadores também destacaram: “Os atacantes tentaram utilizar a identidade em nuvem da instância SQL Server para obter a chave de acesso à identidade em nuvem.”

O objetivo final da operação parecia ser abusar dessa identidade para realizar operações nos recursos em nuvem, incluindo movimentação lateral. No entanto, a tentativa falhou devido a um erro não especificado.

Essa situação realça a crescente sofisticação dos métodos de ataque baseados em nuvem. Os atacantes estão constantemente buscando processos superprivilegiados e conexões de banco de dados para realizar atividades maliciosas.

Os pesquisadores alertam: “Essa é uma técnica que já vimos em outros serviços de nuvem, como VMs e clusters Kubernetes, mas é nova em instâncias SQL Server. Não garantir adequadamente as identidades em nuvem pode expor as instâncias SQL Server e recursos em nuvem a riscos semelhantes.” Eles salientam a necessidade de se proteger não apenas as instâncias SQL Server, mas também os recursos associados na nuvem.

Fonte: https://www.microsoft.com/en-us/security/blog/2023/10/03/defending-new-vectors-threat-actors-attempt-sql-server-to-cloud-lateral-movement/