Microsoft, SQL Server Örneği Aracılığıyla Bulutu İhlal Etmeye Çalışan Siber Saldırılara Karşı Uyardı - Dünyadan Güncel Teknoloji Haberleri

Microsoft, SQL Server Örneği Aracılığıyla Bulutu İhlal Etmeye Çalışan Siber Saldırılara Karşı Uyardı - Dünyadan Güncel Teknoloji Haberleri
” söz konusu Salı günü yayınlanan bir raporda

Güvenlik araştırmacıları Sunders Bruskin, Hagai Ran Kestenberg ve Fady Nasereldeen, “Saldırganlar başlangıçta hedefin ortamındaki bir uygulamadaki SQL enjeksiyon güvenlik açığından yararlandı

“Saldırganlar, SQL Server örneğinin bulut kimliğinden yararlanmaya çalıştı

Veri sızdırma, webhook adı verilen kamuya açık bir araçtan faydalanılarak gerçekleştirilir


04 Eki 2023Haber odasıBulut Güvenliği / Siber Tehdit

Microsoft, saldırganların bir SQL Server örneği aracılığıyla bulut ortamına yatay olarak geçmeyi denediği yeni bir kampanyanın ayrıntılarını açıkladı “Bu kimlikler diğer bulut kaynakları ve hizmetleriyle kimlik doğrulama için kullanılıyor

Araştırmacılar, “Azure gibi bulut hizmetleri, kimlikleri çeşitli bulut kaynaklarına tahsis etmek için yönetilen kimlikleri kullanıyor” dedi

Microsoft, saldırganların bu tekniği kullanarak başarılı bir şekilde bulut kaynaklarına doğru ilerlediğini gösteren herhangi bir kanıt bulamadığını söyledi

“Bu, saldırganın Azure Sanal Makinesi’nde (VM) konuşlandırılan bir Microsoft SQL Server örneğine erişim ve yükseltilmiş izinler elde etmesine olanak sağladı

Gözlemlenen izinsiz girişlerde, SQL enjeksiyon güvenlik açığıyla hedeflenen uygulamanın, saldırganların bir sonraki aşamaya geçmek için işletim sistemi komutlarını başlatmak üzere xp_cmdshell seçeneğini etkinleştirmesine izin veren yükseltilmiş izinlere sahip olduğundan şüpheleniliyor

Bu, keşif yürütmeyi, yürütülebilir dosyaları ve PowerShell komut dosyalarını indirmeyi ve bir arka kapı komut dosyasını başlatmak için zamanlanmış bir görev aracılığıyla kalıcılığı ayarlamayı içeriyordu ”



siber-2

[instance metadata service] ve bulut kimliği erişim anahtarının elde edilmesi” dedi araştırmacılar ”

Saldırı zincirinin başlangıç ​​noktası, saldırganın ana bilgisayar, veritabanları ve ağ yapılandırması hakkında bilgi toplamak için sorgular çalıştırmasına olanak tanıyan, veritabanı sunucusuna yapılan bir SQL enjeksiyonudur

Bu gelişme, kötü aktörlerin daha fazla kötü amaçlı etkinlik gerçekleştirmek için sürekli olarak aşırı ayrıcalıklı süreçleri, hesapları, yönetilen kimlikleri ve veritabanı bağlantılarını gözetlemesiyle bulut tabanlı saldırı tekniklerinin artan karmaşıklığının altını çiziyor Bu yöntem, saldırganlara yalnızca SQL Server örnekleri üzerinde değil, aynı zamanda ilgili bulut kaynakları üzerinde de daha büyük etki elde etme fırsatı sağlar ”

Operasyonun nihai amacının, belirsiz bir hata nedeniyle başarısızlıkla sonuçlanmasına rağmen, bulut ortamında yanal hareket de dahil olmak üzere bulut kaynakları üzerinde çeşitli işlemler gerçekleştirmek için tokenı kötüye kullanmak olduğu görülüyor ]Hizmete giden trafiğin meşru kabul edilmesi ve işaretlenmesinin olası olmaması nedeniyle, radar altında kalma çabasıyla site [ “IMDS kimliğinin uç noktasına yapılan istek, bulut kimliği için güvenlik kimlik bilgilerini (kimlik belirtecini) döndürür

Araştırmacılar, “Bu, VM’ler ve Kubernetes kümesi gibi diğer bulut hizmetlerinde aşina olduğumuz ancak daha önce SQL Server örneklerinde görmediğimiz bir tekniktir” sonucuna vardı

“Bulut kimliklerinin düzgün şekilde güvence altına alınmaması, SQL Server örneklerini ve bulut kaynaklarını benzer risklere maruz bırakabilir ”

Bir sonraki aşamada, tehdit aktörleri, kimliğin erişebildiği bulutta çeşitli kötü amaçlı eylemleri gerçekleştirmek için yükseltilmiş izinlere sahip olabilecek sunucunun bulut kimliğini kötüye kullanarak ek bulut kaynaklarına yatay olarak geçmeyi denemek için yeni izinlerden yararlandı