Microsoft potvrdil možnost útoků na Azure přes napadené SQL servery

Experti společnosti Microsoft nedávno sledovali tuto metodu v akci – šlo o první případ, kdy někdo tímto způsobem použil SQL server.

Při zahájení útoku by aktéři hrozby nejprve využili zranitelnost SQL injection v aplikaci na koncovém bodě cíle. Poté, co by získali přístup (a také zvýšená oprávnění) k instanci hostované na virtuálním počítači Azure, by spustili příkazy SQL a vytáhli z ní údaje o takových věcech, jako jsou databáze, názvy tabulek, schémata, verze databází a další. V některých případech (v závislosti na zranitelné aplikaci, která je cílem spuštění) mohou aktéři hrozeb nakonec prostřednictvím SQL spustit také příkazy operačního systému (OS), což jim umožní číst adresáře, stahovat skripty PowerShell, spouštět zadní vrátka prostřednictvím naplánovaných úloh, vytahovat pověření uživatelů a další.

Platný přístup

Dalším krokem je pokus o přístup ke službě IMDS (Instant Metadata Service), a to zneužitím cloudové identity instance SQL Serveru. To jim může poskytnout přístupový klíč ke cloudové identitě – a tím i cestu do virtuálního počítače Azure. 

Výzkumníci společnosti Microsoft sice uvedli, že sledovaní útočníci nemohli kvůli chybám dokončit svou akci, ale tento přístup je „platný“ a lze jej považovat za velkou hrozbu pro organizace všude na světě. Posledním krokem útoku je odstranění jakýchkoli stop po tom, že k němu vůbec došlo.

Aby organizace zůstaly v bezpečí, doporučuje se při udělování uživatelských oprávnění uplatňovat princip nejmenších privilegií.

„Nedostatečné zabezpečení cloudových identit může vystavit instance SQL serveru a cloudové zdroje podobným rizikům,“ varovali výzkumníci společnosti Microsoft ve zprávě. „Tento způsob poskytuje útočníkům příležitost napáchat škody nejen na instance SQL Serveru, ale také na související cloudové prostředky.“

Zdroj ilustračního obrázku: charlesdeluvio on Unsplash

Zdroj: Bleeping Computer