Microsoft je detaljno opisao novu kampanju u kojoj su hakeri neuspješno pokušavali da se prebace u cloud okruženje putem SQL Server instance.
“Hakeri su u početku iskoristili ranjivost SQL injekcije u aplikaciji unutar ciljnog okruženja”, rekli su istraživači sigurnosti Sunders Bruskin, Hagai Ran Kestenberg i Fady Nasereldeen u izvještaju od utorka.
“Ovo je omogućilo hakeru da dobije pristup i povećane dozvole na instanci Microsoft SQL Servera koja je raspoređena u Azure virtuelnoj mašini (VM).”
U sljedećoj fazi, hakeri su iskoristili nove dozvole kako bi pokušali bočno preći na dodatne resurse u cloud-u zloupotrebom identiteta cloud servera, koji može posjedovati povišene dozvole za izvođenje različitih malicioznih radnji u cloud-u kojima ovaj identitet ima pristup.
Microsoft je rekao da nije pronašao nikakve dokaze koji bi ukazivali na to da su se napadači uspješno preselili bočno na cloud resurse koristeći ovu tehniku.
“Cloud usluge kao što je Azure koriste upravljane identitete za dodjelu identiteta različitim resursima u cloud-u”, rekli su istraživači. “Ti identiteti se koriste za autentifikaciju s drugim cloud resursima i servisima.”
Početna tačka lanca napada je SQL injekcija protiv servera baze podataka koja dozvoljava protivniku da pokrene upite za prikupljanje informacija o hostu, bazama podataka i konfiguraciji mreže.
U uočenim upadima, sumnja se da je aplikacija ciljana sa ranjivošću SQL injekcije imala povišene dozvole, što je omogućilo napadačima da omoguće opciju xp_cmdshell za pokretanje komandi operativnog sistema kako bi prešli na sljedeću fazu.
Ovo je uključivalo provođenje izviđanja, preuzimanje izvršnih datoteka i PowerShell skripti i postavljanje postojanosti putem zakazanog zadatka za pokretanje backdoor skripte.
Eksfiltracija podataka se postiže korištenjem prednosti javno dostupnog alata zvanog webhook[.]site u nastojanju da ostane ispod radara, budući da se odlazni promet ka servisu smatra legitimnim i malo je vjerovatno da će biti označen.
„Napadači su pokušali da iskoriste Cloud identitet instance SQL Servera tako što su pristupili [usluzi metapodataka instance] i dobili ključ za pristup identitetu u cloud-u“, rekli su istraživači. “Zahtjev krajnjoj tački IMDS identiteta vraća sigurnosne kredencijale (token identiteta) za identitet u cloud-u.”
Čini se da je krajnji cilj operacije bio zloupotreba tokena za izvođenje različitih operacija na resursima u cloud-u, uključujući bočno kretanje kroz okruženje cloud-a, iako je završila neuspjehom zbog nespecificirane greške.
Razvoj naglašava rastuću sofisticiranost tehnika napada baziranih na cloud-u, pri čemu su loši hakeri stalno u potrazi za pretjerano privilegovanim procesima, nalozima, upravljanim identitetima i vezama baze podataka kako bi izvršili daljnje zlonamjerne aktivnosti.
“Ovo je tehnika koja nam je poznata u drugim uslugama u cloud-u kao što su VM-ovi i Kubernetes klaster, ali nismo ranije vidjeli u instancama SQL Servera”, zaključili su istraživači.
“Neispravno osiguranje identiteta u cloud-u može izložiti SQL Server instance i resurse u cloud-u sličnim rizicima. Ova metoda pruža priliku napadačima da ostvare veći uticaj ne samo na instance SQL Servera već i na povezane resurse u cloud-u.”
Izvor: The Hacker News