Se ha observado que los piratas informáticos intentan violar los entornos en la nube a través de Microsoft SQL Server vulnerables a la inyección SQL.
Los investigadores de seguridad de Microsoft informan que esta técnica de movimiento lateral se ha visto anteriormente en ataques a otros servicios como máquinas virtuales y clústeres de Kubernetes.
Sin embargo, esta es la primera vez que ven SQL Server aprovechado para este propósito.
Cadena de ataque.
Los ataques que Microsoft observó comienzan con la explotación de una vulnerabilidad de inyección SQL en una aplicación en el entorno del objetivo.
Esto permite a los actores de amenazas obtener acceso a la instancia de SQL Server hospedada en Máquina virtual de Azure con permisos elevados para ejecutar comandos SQL y extraer datos valiosos.
Esto incluye datos sobre bases de datos, nombres de tablas, esquemas, versiones de bases de datos, configuración de red y permisos de lectura/escritura/eliminación.
Si la aplicación comprometida tiene permisos elevados, los atacantes pueden activar el comando ‘xp_cmdshell’ para ejecutar comandos del sistema operativo (SO) a través de SQL, dándoles un shell en el host.
Los comandos ejecutados por los atacantes en esta etapa incluyen los siguientes:
- Lea directorios, enumere procesos y compruebe recursos compartidos de red.
- Descargue ejecutables codificados y comprimidos y scripts de PowerShell.
- Configure una tarea programada para iniciar un script de puerta trasera.
- Recupere las credenciales de usuario volcando las claves de registro SAM y SECURITY.
- Exfiltrar datos utilizando un método único que involucra el servicio gratuito ‘webhook.site’, que facilita la solicitud HTTP y la inspección y depuración de correo electrónico.
El uso de un servicio legítimo para la exfiltración de datos hace que la actividad sea menos probable que parezca sospechosa o levante banderas por parte de los productos de seguridad, lo que permite a los atacantes robar discretamente datos del host.
A continuación, los atacantes intentaron explotar la identidad en la nube de la instancia de SQL Server para acceder al IMDS (servicio de metadatos instantáneos) y obtener la clave de acceso de identidad en la nube.
En Azure, a menudo se asignan identidades administradas a los recursos para la autenticación con otros recursos y servicios en la nube. Si los atacantes tienen ese token, pueden usarlo para acceder a cualquier recurso en la nube para el que la identidad tenga permisos.
Microsoft dice que los atacantes no lograron aprovechar con éxito esta técnica debido a errores, pero el enfoque sigue siendo válido y constituye una grave amenaza para las organizaciones.
Finalmente, los actores de amenazas eliminaron todos los scripts descargados y borraron las modificaciones temporales de la base de datos para borrar los rastros del ataque.
Diagrama completo de la cadena de ataque (Microsoft)
Consejos de defensa
Microsoft sugiere usar Defender for Cloud y Defender for Endpoint para detectar inyecciones SQL y actividad sospechosa de SQLCMD, ambos empleados en el ataque observado.
Para mitigar la amenaza, Microsoft recomienda aplicar el principio de privilegios mínimos al conceder permisos de usuario, lo que siempre agrega fricción en los intentos de movimiento lateral.
Las consultas de búsqueda para 365 Defender y Sentinel se proporcionan en el apéndice del informe de Microsoft.
Fuente y redacción: underc0de.org
