Microsoft, SQL Server Örneği Aracılığıyla Bulutu İhlal Etmeye Çalışan Siber Saldırılara Karşı Uyardı - Dünyadan Güncel Teknoloji Haberleri

Microsoft, SQL Server Örneği Aracılığıyla Bulutu İhlal Etmeye Çalışan Siber Saldırılara Karşı Uyardı - Dünyadan Güncel Teknoloji Haberleri

Gözlemlenen izinsiz girişlerde, SQL enjeksiyon güvenlik açığıyla hedeflenen uygulamanın, saldırganların bir sonraki aşamaya geçmek için işletim sistemi komutlarını başlatmak üzere xp_cmdshell seçeneğini etkinleştirmesine izin veren yükseltilmiş izinlere sahip olduğundan şüpheleniliyor

Veri sızdırma, webhook adı verilen kamuya açık bir araçtan faydalanılarak gerçekleştirilir

Güvenlik araştırmacıları Sunders Bruskin, Hagai Ran Kestenberg ve Fady Nasereldeen, “Saldırganlar başlangıçta hedefin ortamındaki bir uygulamadaki SQL enjeksiyon güvenlik açığından yararlandı ” söz konusu Salı günü yayınlanan bir raporda

Bu, keşif yürütmeyi, yürütülebilir dosyaları ve PowerShell komut dosyalarını indirmeyi ve bir arka kapı komut dosyasını başlatmak için zamanlanmış bir görev aracılığıyla kalıcılığı ayarlamayı içeriyordu

Araştırmacılar, “Azure gibi bulut hizmetleri, kimlikleri çeşitli bulut kaynaklarına tahsis etmek için yönetilen kimlikleri kullanıyor” dedi Bu yöntem, saldırganlara yalnızca SQL Server örnekleri üzerinde değil, aynı zamanda ilgili bulut kaynakları üzerinde de daha büyük etki elde etme fırsatı sağlar

“Bulut kimliklerinin düzgün şekilde güvence altına alınmaması, SQL Server örneklerini ve bulut kaynaklarını benzer risklere maruz bırakabilir ”



siber-2

“IMDS kimliğinin uç noktasına yapılan istek, bulut kimliği için güvenlik kimlik bilgilerini (kimlik belirtecini) döndürür ”

Operasyonun nihai amacının, belirsiz bir hata nedeniyle başarısızlıkla sonuçlanmasına rağmen, bulut ortamında yanal hareket de dahil olmak üzere bulut kaynakları üzerinde çeşitli işlemler gerçekleştirmek için tokenı kötüye kullanmak olduğu görülüyor

Microsoft, saldırganların bu tekniği kullanarak başarılı bir şekilde bulut kaynaklarına doğru ilerlediğini gösteren herhangi bir kanıt bulamadığını söyledi


04 Eki 2023Haber odasıBulut Güvenliği / Siber Tehdit

Microsoft, saldırganların bir SQL Server örneği aracılığıyla bulut ortamına yatay olarak geçmeyi denediği yeni bir kampanyanın ayrıntılarını açıkladı [instance metadata service] ve bulut kimliği erişim anahtarının elde edilmesi” dedi araştırmacılar “Bu kimlikler diğer bulut kaynakları ve hizmetleriyle kimlik doğrulama için kullanılıyor

Araştırmacılar, “Bu, VM’ler ve Kubernetes kümesi gibi diğer bulut hizmetlerinde aşina olduğumuz ancak daha önce SQL Server örneklerinde görmediğimiz bir tekniktir” sonucuna vardı [

“Bu, saldırganın Azure Sanal Makinesi’nde (VM) konuşlandırılan bir Microsoft SQL Server örneğine erişim ve yükseltilmiş izinler elde etmesine olanak sağladı ”

Saldırı zincirinin başlangıç ​​noktası, saldırganın ana bilgisayar, veritabanları ve ağ yapılandırması hakkında bilgi toplamak için sorgular çalıştırmasına olanak tanıyan, veritabanı sunucusuna yapılan bir SQL enjeksiyonudur

Bu gelişme, kötü aktörlerin daha fazla kötü amaçlı etkinlik gerçekleştirmek için sürekli olarak aşırı ayrıcalıklı süreçleri, hesapları, yönetilen kimlikleri ve veritabanı bağlantılarını gözetlemesiyle bulut tabanlı saldırı tekniklerinin artan karmaşıklığının altını çiziyor

“Saldırganlar, SQL Server örneğinin bulut kimliğinden yararlanmaya çalıştı ]Hizmete giden trafiğin meşru kabul edilmesi ve işaretlenmesinin olası olmaması nedeniyle, radar altında kalma çabasıyla site ”

Bir sonraki aşamada, tehdit aktörleri, kimliğin erişebildiği bulutta çeşitli kötü amaçlı eylemleri gerçekleştirmek için yükseltilmiş izinlere sahip olabilecek sunucunun bulut kimliğini kötüye kullanarak ek bulut kaynaklarına yatay olarak geçmeyi denemek için yeni izinlerden yararlandı