Hackers foram detectados tentando comprometer ambientes de nuvem através de servidores Microsoft SQL vulneráveis à injeção de SQL.
Os pesquisadores de segurança da Microsoft revelaram que essa técnica de movimento lateral já foi observada em ataques contra outros serviços, como Máquinas Virtuais (VMs) e clusters Kubernetes.
Os ataques identificados pela Microsoft começam com a exploração de uma vulnerabilidade SQL Injection em um aplicativo dentro do ambiente-alvo. Isso permite que os invasores obtenham acesso à instância do SQL Server hospedada na Máquina Virtual do Azure, com permissões elevadas para executar comandos SQL e extrair dados valiosos. Esses dados incluem informações sobre bancos de dados, nomes de tabelas, esquemas, versões de bancos de dados, configurações de rede e permissões de leitura/gravação/exclusão.
Se o aplicativo comprometido possuir permissões elevadas, os invasores podem ativar o comando 'xp_cmdshell' para executar comandos do sistema operacional (SO) através do SQL, fornecendo-lhes um shell no host. Os comandos executados pelos invasores nesta fase incluem a leitura de diretórios, listagem de processos, verificação de compartilhamentos de rede, o download de executáveis codificados e compactados, scripts do PowerShell, a configuração de uma tarefa agendada para iniciar um script backdoor e a recuperação de credenciais de usuário, descartando as chaves de registro SAM e SECURITY. Para exfiltrar dados, os invasores utilizam um método que envolve o serviço gratuito 'webhook.site', facilitando a solicitação HTTP e a inspeção e depuração de e-mails. O uso de um serviço legítimo para a exfiltração de dados torna menos provável que a atividade seja considerada suspeita ou levante alertas de segurança, permitindo que os invasores roubem dados discretamente do host.
Em seguida, os invasores tentam explorar a identidade na nuvem da instância do SQL Server para acessar o IMDS (Instant Metadata Service) e obter a chave de acesso da identidade na nuvem. No Azure, os recursos são frequentemente atribuídos a identidades gerenciadas para autenticação com outros recursos e serviços em nuvem. Se os invasores conseguirem obter esse token, poderão usá-lo para acessar qualquer recurso de nuvem para o qual a identidade tenha permissão.
A Microsoft informa que os invasores não conseguiram explorar com sucesso essa técnica devido a erros, mas a abordagem ainda representa uma ameaça significativa para as organizações.
Os atacantes apagam todos os scripts baixados e desfazem as modificações temporárias no banco de dados para eliminar quaisquer vestígios do ataque.
A Microsoft recomenda o uso do Defender for Cloud e do Defender for Endpoint para detectar os ataques de SQL Injection e atividades suspeitas de SQLCMD, ambos utilizados no ataque observado. Para mitigar essa ameaça, a Microsoft sugere aplicar o princípio do menor privilégio ao conceder permissões aos usuários, o que adiciona uma camada de segurança ao tentar evitar o movimento lateral. As consultas de busca para 365 Defender e Sentinel estão disponíveis no apêndice do relatório da Microsoft.
Comments