Microsoft представи подробна информация за нова кампания, при която нападателите неуспешно са се опитали да преминат странично към облачна среда чрез инстанция на SQL Server.

„Първоначално нападателите са използвали уязвимост за инжектиране на SQL в приложение в средата на целта“, казват изследователите по сигурността Съндерс Брускин, Хагай Ран Кестенберг и Фади Насерелдин в доклад от вторник.

„Това позволи на атакуващия да получи достъп и повишени разрешения за инстанция на Microsoft SQL Server, разположена във виртуална машина (VM) на Azure.“

На следващия етап участниците в заплахата са използвали новите разрешения, за да се опитат да преминат странично към допълнителни облачни ресурси, като злоупотребят с облачната идентичност на сървъра, която може да притежава повишени разрешения, за да може вероятно да извършва различни злонамерени действия в облака, до който идентичността има достъп.

От Microsoft заявиха, че не са открили никакви доказателства, които да предполагат, че нападателите успешно са се придвижили странично до облачните ресурси, използвайки тази техника.

„Облачните услуги като Azure използват управлявани идентичности за разпределяне на идентичностите към различните облачни ресурси“, заявиха изследователите. „Тези идентичности се използват за удостоверяване на автентичността с други облачни ресурси и услуги.“

Началната точка на веригата от атаки е SQL инжекция срещу сървъра за бази данни, която позволява на противника да изпълнява заявки за събиране на информация за хоста, базите данни и мрежовата конфигурация.

При наблюдаваните прониквания се подозира, че приложението, към което е насочена уязвимостта SQL injection, е имало повишени права, което е позволило на нападателите да активират опцията xp_cmdshell за стартиране на команди на операционната система, за да преминат към следващата фаза.

Това включваше провеждане на разузнаване, изтегляне на изпълними файлове и скриптове на PowerShell и настройване на устойчивост чрез планирана задача за стартиране на скрипт на задната врата.

Ексфилтрацията на данни е постигната чрез използване на публично достъпен инструмент, наречен webhook[.]site, в опит да се остане под радара, тъй като изходящият трафик към услугата се счита за легитимен и е малко вероятно да бъде маркиран.

„Нападателите се опитаха да използват облачната идентичност на инстанцията на SQL Server, като получиха достъп до [услугата за метаданни на инстанцията] и получиха ключа за достъп до облачната идентичност“, казват изследователите. „Заявката към крайната точка на IMDS идентичността връща идентификационните данни за сигурност (identity token) за облачната идентичност.“

Крайната цел на операцията изглежда е била да се злоупотреби с токена, за да се извършват различни операции с ресурсите на облака, включително странично движение в облачната среда, въпреки че е завършила с неуспех поради неуточнена грешка.

Разработката подчертава нарастващата сложност на техниките за атаки в облака, като лошите  постоянно търсят свръхпривилегировани процеси, акаунти, управлявани идентичности и връзки към бази данни, за да извършват по-нататъшни злонамерени дейности.

„Това е техника, която ни е позната в други облачни услуги като виртуални машини и клъстер Kubernetes, но не сме виждали досега в инстанции на SQL Server“, заключават изследователите.

„Неправилното подсигуряване на облачните идентичности може да изложи SQL Server инстанциите и облачните ресурси на подобни рискове. Този метод дава възможност на нападателите да постигнат по-голямо въздействие не само върху инстанциите на SQL Server, но и върху свързаните с тях облачни ресурси.“