A Microsoft detalhou uma nova campanha na qual os invasores tentaram sem sucesso se deslocar lateralmente para um ambiente de nuvem por meio de uma instância do SQL Server.
"Os invasores inicialmente exploraram uma vulnerabilidade de injeção SQL em um aplicativo dentro do ambiente do alvo", disseram os pesquisadores de segurança Sunders Bruskin, Hagai Ran Kestenberg e Fady Nasereldeen em um relatório de terça-feira.
"Isso permitiu ao agressor obter acesso e permissões elevadas em uma instância do Microsoft SQL Server implantada na Máquina Virtual do Azure (VM)."
Na próxima etapa, os atores da ameaça aproveitaram as novas permissões para tentar se deslocar lateralmente para recursos de nuvem adicionais, abusando da identidade de nuvem do servidor, que pode possuir permissões elevadas para provavelmente realizar várias ações maliciosas na nuvem à qual a identidade tem acesso.
A Microsoft disse que não encontrou nenhuma evidência para sugerir que os invasores se mudaram com sucesso para os recursos da nuvem usando a técnica.
"Serviços de nuvem como o Azure usam identidades gerenciadas para alocar identidades para os vários recursos de nuvem", disseram os pesquisadores.
"Essas identidades são usadas para autenticação com outros recursos e serviços de nuvem."
O ponto de partida da cadeia de ataque é uma injeção SQL contra o servidor de banco de dados que permite ao adversário executar consultas para coletar informações sobre o host, bancos de dados e configuração de rede.
Nas intrusões observadas, suspeita-se que o aplicativo alvo da vulnerabilidade de injeção SQL tinha permissões elevadas, o que permitiu aos invasores habilitar a opção xp_cmdshell para lançar comandos de sistema operacional para proceder à próxima fase.
Isso incluiu a realização de reconhecimento, download de executáveis e scripts do PowerShell, e a configuração de persistência por meio de uma tarefa agendada para iniciar um script de backdoor.
A exfiltração de dados é alcançada tirando proveito de uma ferramenta publicamente acessível chamada webhook[.]site em um esforço para permanecer sob o radar, já que o tráfego de saída para o serviço é considerado legítimo e improvável de ser sinalizado.
"Os invasores tentaram utilizar a identidade de nuvem da instância do SQL Server acessando o [serviço de metadados da instância] e obtendo a chave de acesso à identidade da nuvem", disseram os pesquisadores.
"A solicitação ao endpoint da identidade do IMDS retorna as credenciais de segurança (token de identidade) para a identidade da nuvem."
O objetivo final da operação parece ter sido abusar do token para realizar várias operações nos recursos da nuvem, incluindo o movimento lateral pelo ambiente de nuvem, embora tenha terminado em falha devido a um erro não especificado.
O desenvolvimento destaca a crescente sofisticação das técnicas de ataque baseadas em nuvem, com os maus atores constantemente à procura de processos superprivilegiados, contas, identidades gerenciadas e conexões de banco de dados para realizar mais atividades maliciosas.
"Esta é uma técnica com a qual estamos familiarizados em outros serviços de nuvem, como VMs e clusters Kubernetes, mas nunca vimos em instâncias do SQL Server", concluíram os pesquisadores.
"Não proteger adequadamente as identidades da nuvem pode expor as instâncias do SQL Server e os recursos de nuvem a riscos semelhantes.
Este método oferece uma oportunidade para os invasores alcançarem um impacto maior, não apenas nas instâncias do SQL Server, mas também nos recursos de nuvem associados."
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...