导读 安全研究人员透露,黑客正在利用有缺陷的MicrosoftSQL服务器作为垫脚石,瞄准Azure虚拟机(VM)。微软的专家最近报告了观察该方法的实际情况...
安全研究人员透露,黑客正在利用有缺陷的MicrosoftSQL服务器作为垫脚石,瞄准Azure虚拟机(VM)。
微软的专家最近报告了观察该方法的实际情况,这也是第一次有人以这种方式使用SQL服务器。
开始攻击时,威胁行为者首先会利用目标端点上应用程序中的SQL注入漏洞。在获得对AzureVM上托管的实例的访问权限(以及提升的权限)后,他们将运行SQL命令来提取有关数据库、表名称、架构、数据库版本等的数据。在某些情况下(取决于启动时针对的易受攻击的应用程序),威胁参与者最终还可以通过SQL运行操作系统(OS)命令,从而允许他们读取目录、下载PowerShell脚本、通过计划任务运行后门、拉取用户凭证等等。
下一步是通过利用SQLServer实例的云身份来尝试访问即时元数据服务(IMDS)。这可以为他们提供云身份访问密钥-从而提供进入AzureVM的途径。
虽然微软的研究人员表示,他们观察到的攻击者由于错误而无法完全完成工作,但这种方法是“有效的”,并且可以被视为对各地组织的巨大威胁。攻击的最后一步是消除攻击发生过的任何痕迹。
为了确保他们的安全,建议组织在授予用户权限时应用最小权限原则。
微软研究人员在报告中警告说:“云身份保护不当可能会使SQLServer实例和云资源面临类似的风险。”“这种方法为攻击者提供了机会,不仅可以对SQLServer实例产生更大的影响,而且还可以对相关的云资源产生更大的影响。”