Microsoft, ihlal edilmiş SQL sunucularını kullanan Azure saldırılarını doğruladı

Güvenlik araştırmacıları, bilgisayar korsanlarının kusurlu Microsoft SQL sunucularını bir atlama taşı olarak kullanarak Azure sanal makinelerini (VM) hedef aldığını ortaya çıkardı.

Microsoft’un uzmanları kısa bir süre önce, bir SQL sunucusunun bu şekilde ilk kez kullanıldığı bu yöntemi gözlemlediklerini bildirdiler.

Saldırıyı başlatan tehdit aktörleri ilk olarak hedefin uç noktasındaki bir uygulamada bulunan SQL enjeksiyonu açığından yararlanıyordu. Bir Azure VM’sinde barındırılan örneğe erişim (ve yükseltilmiş ayrıcalıklar) elde ettikten sonra, veritabanları, tablo adları, şemalar, veritabanı sürümleri ve daha fazlası gibi şeyler hakkında veri çekmek için SQL komutlarını çalıştırırlardı. Bazı durumlarda (başlangıçta hedeflenen savunmasız uygulamaya bağlı olarak), tehdit aktörleri SQL aracılığıyla işletim sistemi (OS) komutlarını da çalıştırarak dizinleri okumalarına, PowerShell komut dosyalarını indirmelerine, zamanlanmış görevler aracılığıyla arka kapıları çalıştırmalarına, kullanıcı kimlik bilgilerini çekmelerine ve daha fazlasına olanak tanıyabilir.

Geçerli yaklaşım
Bir sonraki adım, SQL Server örneğinin bulut kimliğinden yararlanarak Anında Meta Veri Hizmeti’ne (IMDS) erişmeye çalışmaktır. Bu da onlara bir bulut kimliği erişim anahtarı ve dolayısıyla Azure sanal makinesine giriş yolu sağlayabilir.
Microsoft’un araştırmacıları, gözlemledikleri saldırganların hatalar nedeniyle işi tam olarak yapamadıklarını söylese de, yaklaşım “geçerli” ve her yerdeki kuruluşlar için büyük bir tehdit olarak kabul edilebilir. Saldırının son adımı, saldırının gerçekleştiğine dair tüm izleri ortadan kaldırmaktır.

Güvende olduklarından emin olmak için kuruluşların kullanıcı izinlerini verirken en az ayrıcalık ilkesini uygulamaları öneriliyor.

Microsoft araştırmacıları raporda şu uyarıda bulundu: “Bulut kimliklerinin düzgün bir şekilde güvence altına alınmaması SQL Server örneklerini ve bulut kaynaklarını benzer risklere maruz bırakabilir.” “Bu yöntem, saldırganlara yalnızca SQL Server örnekleri üzerinde değil, aynı zamanda ilişkili bulut kaynakları üzerinde de daha büyük etki elde etme fırsatı sunuyor.”

 

 

Daha fazla haber için;

 

Unreal Engine Yenilikleri Tanıtıldı