sql injection

Hackers atacam Azure por meio de servidores SQL violados

Hackers foram rastreados tentando violar ambientes de nuvem por meio de Microsoft SQL Servers vulneráveis à injeção de SQL
Da Redação
05/10/2023

Os pesquisadores de segurança da Microsoft relatam terem observado hackers tentando violar ambientes de nuvem por meio de SQL Servers vulneráveis à injeção de SQL. Essa técnica de movimento lateral em invasão já foi vista anteriormente em ataques a outros serviços, como máquinas virtuais (VMs) e clusters Kubernetes.

Os ataques começam com a exploração de uma vulnerabilidade de injeção de SQL em um aplicativo no ambiente do alvo. Segundo os pesquisadores, isso permite que os operadores de ameaças obtenham acesso à instância do SQL Server hospedada na máquina virtual do Azure com permissões elevadas para executar comandos SQL e extrair dados valiosos. Isso inclui dados sobre bancos de dados, nomes de tabelas, esquemas, versões de banco de dados, configuração de rede e permissões de leitura/gravação/exclusão.

Se o aplicativo comprometido tiver permissões elevadas, os invasores podem ativar o comando “xp_cmdshell” para executar comandos do sistema operacional (SO) via SQL, dando-lhes um shell no host.

O uso de um serviço legítimo para exfiltração de dados torna a atividade menos provável de parecer suspeita ou disparar quaisquer indicadores por produtos de segurança, permitindo que os invasores roubem discretamente dados do host. Em seguida, eles podem tentar explorar a identidade de nuvem da instância do SQL Server para acessar o serviço de metadados instantâneos (IMDS) e obter a chave de acesso de identidade de nuvem.

Veja isso
Hackers invadem servidores SQL para implantar ransomware
BlackCat invade armazenamento do Azure com criptografador

A Microsoft sugere o uso do Defender for Cloud e do Defender for Endpoint para capturar injeções de SQL e atividades suspeitas de SQLCMD, ambas empregadas no ataque observado. Para mitigar a ameaça, a empresa recomenda aplicar o princípio de menor privilégio ao conceder permissões de usuário, o que sempre adiciona atrito em tentativas de movimento lateral.As consultas de busca para o 365 Defender e o Sentinel são fornecidas no apêndice em inglês do relatório da Microsoft.

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA newsletter@cisoadvisor.com.br NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)