Microsoft ha detallado una nueva campaña en la que los atacantes intentaron sin éxito moverse lateralmente a un entorno de nube a través de una instancia de SQL Server.
«Los atacantes inicialmente aprovecharon una vulnerabilidad de inyección SQL en una aplicación dentro del entorno del objetivo», afirman los investigadores de seguridad Sunders Bruskin, Hagai Ran Kestenberg y Fady Nasereldeen. dicho en un informe del martes.
«Esto permitió al atacante obtener acceso y permisos elevados en una instancia de Microsoft SQL Server implementada en Azure Virtual Machine (VM)».
En la siguiente etapa, los actores de amenazas aprovecharon los nuevos permisos para intentar moverse lateralmente a recursos adicionales de la nube abusando de la identidad de la nube del servidor, que puede poseer permisos elevados para probablemente llevar a cabo diversas acciones maliciosas en la nube a la que tiene acceso la identidad.
Microsoft dijo que no encontró ninguna evidencia que sugiera que los atacantes se movieron lateralmente con éxito a los recursos de la nube utilizando esta técnica.
«Los servicios en la nube como Azure utilizan identidades administradas para asignar identidades a los distintos recursos de la nube», dijeron los investigadores. «Esas identidades se utilizan para la autenticación con otros recursos y servicios de la nube».
El punto de partida de la cadena de ataque es una inyección SQL contra el servidor de la base de datos que permite al adversario ejecutar consultas para recopilar información sobre el host, las bases de datos y la configuración de la red.
En las intrusiones observadas, se sospecha que la aplicación objetivo de la vulnerabilidad de inyección SQL tenía permisos elevados, lo que permitió a los atacantes habilitar la opción xp_cmdshell para iniciar comandos del sistema operativo y pasar a la siguiente fase.
Esto incluyó realizar reconocimientos, descargar ejecutables y scripts de PowerShell y configurar la persistencia mediante una tarea programada para iniciar un script de puerta trasera.
La exfiltración de datos se logra aprovechando una herramienta de acceso público llamada webhook.[.]sitio en un esfuerzo por pasar desapercibido, ya que el tráfico saliente al servicio se considera legítimo y es poco probable que se marque.
«Los atacantes intentaron utilizar la identidad en la nube de la instancia de SQL Server accediendo al [instance metadata service] y obtener la clave de acceso a la identidad en la nube», dijeron los investigadores. «La solicitud al punto final de la identidad IMDS devuelve las credenciales de seguridad (token de identidad) para la identidad en la nube».
El objetivo final de la operación parece haber sido abusar del token para realizar diversas operaciones en los recursos de la nube, incluido el movimiento lateral a través del entorno de la nube, aunque terminó en falla debido a un error no especificado.
El desarrollo subraya la creciente sofisticación de las técnicas de ataque basadas en la nube, con malos actores constantemente en busca de procesos, cuentas, identidades administradas y conexiones de bases de datos con exceso de privilegios para llevar a cabo más actividades maliciosas.
«Esta es una técnica con la que estamos familiarizados en otros servicios en la nube, como las máquinas virtuales y el clúster de Kubernetes, pero que no habíamos visto antes en instancias de SQL Server», concluyeron los investigadores.
«No proteger adecuadamente las identidades de la nube puede exponer las instancias de SQL Server y los recursos de la nube a riesgos similares. Este método brinda una oportunidad para que los atacantes logren un mayor impacto no solo en las instancias de SQL Server sino también en los recursos de la nube asociados».