Microsoft, SQL Server Örneği Aracılığıyla Bulutu İhlal Etmeye Çalışan Siber Saldırılara Karşı Uyardı - Dünyadan Güncel Teknoloji Haberleri

Microsoft, SQL Server Örneği Aracılığıyla Bulutu İhlal Etmeye Çalışan Siber Saldırılara Karşı Uyardı - Dünyadan Güncel Teknoloji Haberleri

Güvenlik araştırmacıları Sunders Bruskin, Hagai Ran Kestenberg ve Fady Nasereldeen, “Saldırganlar başlangıçta hedefin ortamındaki bir uygulamadaki SQL enjeksiyon güvenlik açığından yararlandı

Araştırmacılar, “Bu, VM’ler ve Kubernetes kümesi gibi diğer bulut hizmetlerinde aşina olduğumuz ancak daha önce SQL Server örneklerinde görmediğimiz bir tekniktir” sonucuna vardı ”



siber-2

Microsoft, saldırganların bu tekniği kullanarak başarılı bir şekilde bulut kaynaklarına doğru ilerlediğini gösteren herhangi bir kanıt bulamadığını söyledi

“Bulut kimliklerinin düzgün şekilde güvence altına alınmaması, SQL Server örneklerini ve bulut kaynaklarını benzer risklere maruz bırakabilir

Araştırmacılar, “Azure gibi bulut hizmetleri, kimlikleri çeşitli bulut kaynaklarına tahsis etmek için yönetilen kimlikleri kullanıyor” dedi

Gözlemlenen izinsiz girişlerde, SQL enjeksiyon güvenlik açığıyla hedeflenen uygulamanın, saldırganların bir sonraki aşamaya geçmek için işletim sistemi komutlarını başlatmak üzere xp_cmdshell seçeneğini etkinleştirmesine izin veren yükseltilmiş izinlere sahip olduğundan şüpheleniliyor “IMDS kimliğinin uç noktasına yapılan istek, bulut kimliği için güvenlik kimlik bilgilerini (kimlik belirtecini) döndürür

Bu gelişme, kötü aktörlerin daha fazla kötü amaçlı etkinlik gerçekleştirmek için sürekli olarak aşırı ayrıcalıklı süreçleri, hesapları, yönetilen kimlikleri ve veritabanı bağlantılarını gözetlemesiyle bulut tabanlı saldırı tekniklerinin artan karmaşıklığının altını çiziyor ]Hizmete giden trafiğin meşru kabul edilmesi ve işaretlenmesinin olası olmaması nedeniyle, radar altında kalma çabasıyla site ”

Saldırı zincirinin başlangıç ​​noktası, saldırganın ana bilgisayar, veritabanları ve ağ yapılandırması hakkında bilgi toplamak için sorgular çalıştırmasına olanak tanıyan, veritabanı sunucusuna yapılan bir SQL enjeksiyonudur


04 Eki 2023Haber odasıBulut Güvenliği / Siber Tehdit

Microsoft, saldırganların bir SQL Server örneği aracılığıyla bulut ortamına yatay olarak geçmeyi denediği yeni bir kampanyanın ayrıntılarını açıkladı ”

Operasyonun nihai amacının, belirsiz bir hata nedeniyle başarısızlıkla sonuçlanmasına rağmen, bulut ortamında yanal hareket de dahil olmak üzere bulut kaynakları üzerinde çeşitli işlemler gerçekleştirmek için tokenı kötüye kullanmak olduğu görülüyor

“Saldırganlar, SQL Server örneğinin bulut kimliğinden yararlanmaya çalıştı

“Bu, saldırganın Azure Sanal Makinesi’nde (VM) konuşlandırılan bir Microsoft SQL Server örneğine erişim ve yükseltilmiş izinler elde etmesine olanak sağladı ”

Bir sonraki aşamada, tehdit aktörleri, kimliğin erişebildiği bulutta çeşitli kötü amaçlı eylemleri gerçekleştirmek için yükseltilmiş izinlere sahip olabilecek sunucunun bulut kimliğini kötüye kullanarak ek bulut kaynaklarına yatay olarak geçmeyi denemek için yeni izinlerden yararlandı “Bu kimlikler diğer bulut kaynakları ve hizmetleriyle kimlik doğrulama için kullanılıyor ” söz konusu Salı günü yayınlanan bir raporda [

Veri sızdırma, webhook adı verilen kamuya açık bir araçtan faydalanılarak gerçekleştirilir

Bu, keşif yürütmeyi, yürütülebilir dosyaları ve PowerShell komut dosyalarını indirmeyi ve bir arka kapı komut dosyasını başlatmak için zamanlanmış bir görev aracılığıyla kalıcılığı ayarlamayı içeriyordu [instance metadata service] ve bulut kimliği erişim anahtarının elde edilmesi” dedi araştırmacılar Bu yöntem, saldırganlara yalnızca SQL Server örnekleri üzerinde değil, aynı zamanda ilgili bulut kaynakları üzerinde de daha büyük etki elde etme fırsatı sağlar