Лазейка в SQL Server — новый путь хакеров в облачные среды

Исследователи безопасности Microsoft недавно выявили вредоносную кампанию, в рамках которой злоумышленники пытались выполнить боковое перемещение в облачную среду через экземпляр SQL Server. Эта тактика атаки демонстрирует подход, который ранее уже наблюдался для доступа к другим облачным сервисам, но ещё ни разу через SQL Server.

Злоумышленники начали с эксплуатации уязвимости SQL-инъекции в приложении внутри среды жертвы, что позволило им получить расширенные права доступа к экземпляру Microsoft SQL Server на Azure Virtual Machine . Далее атакующие использовали полученные расширенные права, чтобы попытаться осуществить боковое перемещение в дополнительные облачные ресурсы путём злоупотребления облачной идентификацией сервера.

Облачные идентификаторы обычно используются в облачных сервисах, включая SQL Server, и могут обладать расширенными разрешениями на выполнение действий в облаке. Хотя управляемые идентификаторы предлагают преимущества в плане удобства, безопасности и эффективности, они также несут определённые риски, которые создают потенциальный вектор для атаки.

Цепочка зловредных действий, которую наблюдали специалисты, инициировала множество предупреждений Microsoft Defender для SQL. Это позволило выявить и проанализировать метод бокового перемещения, используемого хакерами. Предупреждения также позволили быстро развернуть дополнительную защиту.

Хотя исследователи не выявили признаки успешного перемещения злоумышленниками по другим облачным ресурсам, специалисты считают важным, чтобы эксперты по безопасности были осведомлены о подобной технике атаки на SQL Server.

Для перехода на другие облачные ресурсы злоумышленники пытались использовать облачный идентификатор экземпляра SQL Server, обращаясь к сервису IMDS и получая ключ доступа к облачному идентификатору. При этом было совершено обращение к IMDS для получения токена идентификации, который затем мог быть использован для выполнения различных операций над облачными ресурсами.

Обнаруженная атака подчёркивает важность надёжного обеспечения безопасности облачных идентификаторов, чтобы защитить экземпляры SQL Server и облачные ресурсы от несанкционированного доступа.

С учётом роста использования облачных технологий злоумышленники всё чаще применяют известные методы атак в новых средах. Для снижения риска атак с боковым перемещением организациям рекомендуется следовать лучшим практикам безопасности для управляемых идентификаторов.