Търсене
Close this search box.

Microsoft представи подробна информация за нова кампания, при която нападателите неуспешно са се опитали да преминат странично към облачна среда чрез инстанция на SQL Server.

„Първоначално нападателите са използвали уязвимост за инжектиране на SQL в приложение в средата на целта“, казват изследователите по сигурността Съндерс Брускин, Хагай Ран Кестенберг и Фади Насерелдин в доклад от вторник.

„Това позволи на атакуващия да получи достъп и повишени разрешения за инстанция на Microsoft SQL Server, разположена във виртуална машина (VM) на Azure.“

На следващия етап участниците в заплахата са използвали новите разрешения, за да се опитат да преминат странично към допълнителни облачни ресурси, като злоупотребят с облачната идентичност на сървъра, която може да притежава повишени разрешения, за да може вероятно да извършва различни злонамерени действия в облака, до който идентичността има достъп.

От Microsoft заявиха, че не са открили никакви доказателства, които да предполагат, че нападателите успешно са се придвижили странично до облачните ресурси, използвайки тази техника.

„Облачните услуги като Azure използват управлявани идентичности за разпределяне на идентичностите към различните облачни ресурси“, заявиха изследователите. „Тези идентичности се използват за удостоверяване на автентичността с други облачни ресурси и услуги.“

Началната точка на веригата от атаки е SQL инжекция срещу сървъра за бази данни, която позволява на противника да изпълнява заявки за събиране на информация за хоста, базите данни и мрежовата конфигурация.

При наблюдаваните прониквания се подозира, че приложението, към което е насочена уязвимостта SQL injection, е имало повишени права, което е позволило на нападателите да активират опцията xp_cmdshell за стартиране на команди на операционната система, за да преминат към следващата фаза.

Microsoft

Това включваше провеждане на разузнаване, изтегляне на изпълними файлове и скриптове на PowerShell и настройване на устойчивост чрез планирана задача за стартиране на скрипт на задната врата.

Ексфилтрацията на данни е постигната чрез използване на публично достъпен инструмент, наречен webhook[.]site, в опит да се остане под радара, тъй като изходящият трафик към услугата се счита за легитимен и е малко вероятно да бъде маркиран.

„Нападателите се опитаха да използват облачната идентичност на инстанцията на SQL Server, като получиха достъп до [услугата за метаданни на инстанцията] и получиха ключа за достъп до облачната идентичност“, казват изследователите. „Заявката към крайната точка на IMDS идентичността връща идентификационните данни за сигурност (identity token) за облачната идентичност.“

Крайната цел на операцията изглежда е била да се злоупотреби с токена, за да се извършват различни операции с ресурсите на облака, включително странично движение в облачната среда, въпреки че е завършила с неуспех поради неуточнена грешка.

Разработката подчертава нарастващата сложност на техниките за атаки в облака, като лошите  постоянно търсят свръхпривилегировани процеси, акаунти, управлявани идентичности и връзки към бази данни, за да извършват по-нататъшни злонамерени дейности.

„Това е техника, която ни е позната в други облачни услуги като виртуални машини и клъстер Kubernetes, но не сме виждали досега в инстанции на SQL Server“, заключават изследователите.

„Неправилното подсигуряване на облачните идентичности може да изложи SQL Server инстанциите и облачните ресурси на подобни рискове. Този метод дава възможност на нападателите да постигнат по-голямо въздействие не само върху инстанциите на SQL Server, но и върху свързаните с тях облачни ресурси.“

Източник: The Hacker News

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
12 декември 2024

Ключове за разбиране на MDR, EDR, NDR, XDR (ЧАС...

Еволюция на решенията за откриване и реагиране (DR) През последното...
12 декември 2024

Пионерът в симетричната криптография се насочва...

Бъдещето, в което се използват квантови изчисления, не е далеч, но ...
12 декември 2024

Телевизията на шотландския парламент е изложена...

Дълбоките фалшификати се превръщат в заплаха за записите и видеопот...
Бъдете социални
Още по темата
10/12/2024

Пач вторник: Редмънд закърп...

Софтуерният гигант Microsoft разпространи във вторник...
28/11/2024

Microsoft отхвърля твърдени...

Microsoft отхвърли твърденията, разпространявани онлайн, че...
28/11/2024

Microsoft поправя експлоати...

Във вторник Microsoft информира клиентите си,...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!