{"id":981563,"date":"2023-10-04T11:47:21","date_gmt":"2023-10-04T11:47:21","guid":{"rendered":"https:\/\/teknomers.com\/es\/microsoft-advierte-sobre-ataques-ciberneticos-que-intentan-violar-la-nube-a-traves-de-una-instancia-de-sql-server\/"},"modified":"2023-10-04T11:47:25","modified_gmt":"2023-10-04T11:47:25","slug":"microsoft-advierte-sobre-ataques-ciberneticos-que-intentan-violar-la-nube-a-traves-de-una-instancia-de-sql-server","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/microsoft-advierte-sobre-ataques-ciberneticos-que-intentan-violar-la-nube-a-traves-de-una-instancia-de-sql-server\/","title":{"rendered":"Microsoft advierte sobre ataques cibern\u00e9ticos que intentan violar la nube a trav\u00e9s de una instancia de SQL Server"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>04 de octubre de 2023<\/span>\ue804<\/i>THN<\/span><\/span>Seguridad en la nube\/amenaza cibern\u00e9tica<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Microsoft ha detallado una nueva campa\u00f1a en la que los atacantes intentaron sin \u00e9xito moverse lateralmente a un entorno de nube a trav\u00e9s de una instancia de SQL Server.<\/p>\n

“Los atacantes inicialmente aprovecharon una vulnerabilidad de inyecci\u00f3n SQL en una aplicaci\u00f3n dentro del entorno del objetivo”, afirman los investigadores de seguridad Sunders Bruskin, Hagai Ran Kestenberg y Fady Nasereldeen. dicho<\/a> en un informe del martes.<\/p>\n

“Esto permiti\u00f3 al atacante obtener acceso y permisos elevados en una instancia de Microsoft SQL Server implementada en Azure Virtual Machine (VM)”.<\/p>\n

En la siguiente etapa, los actores de amenazas aprovecharon los nuevos permisos para intentar moverse lateralmente a recursos adicionales de la nube abusando de la identidad de la nube del servidor, que puede poseer permisos elevados para probablemente llevar a cabo diversas acciones maliciosas en la nube a la que tiene acceso la identidad.<\/p>\n

\"La<\/a><\/center><\/div>\n

Microsoft dijo que no encontr\u00f3 ninguna evidencia que sugiera que los atacantes se movieron lateralmente con \u00e9xito a los recursos de la nube utilizando esta t\u00e9cnica.<\/p>\n

“Los servicios en la nube como Azure utilizan identidades administradas para asignar identidades a los distintos recursos de la nube”, dijeron los investigadores. “Esas identidades se utilizan para la autenticaci\u00f3n con otros recursos y servicios de la nube”.<\/p>\n

El punto de partida de la cadena de ataque es una inyecci\u00f3n SQL contra el servidor de la base de datos que permite al adversario ejecutar consultas para recopilar informaci\u00f3n sobre el host, las bases de datos y la configuraci\u00f3n de la red.<\/p>\n

En las intrusiones observadas, se sospecha que la aplicaci\u00f3n objetivo de la vulnerabilidad de inyecci\u00f3n SQL ten\u00eda permisos elevados, lo que permiti\u00f3 a los atacantes habilitar la opci\u00f3n xp_cmdshell para iniciar comandos del sistema operativo y pasar a la siguiente fase.<\/p>\n

\"microsoft\"<\/a><\/div>\n

Esto incluy\u00f3 realizar reconocimientos, descargar ejecutables y scripts de PowerShell y configurar la persistencia mediante una tarea programada para iniciar un script de puerta trasera.<\/p>\n

La exfiltraci\u00f3n de datos se logra aprovechando una herramienta de acceso p\u00fablico llamada webhook.[.]sitio en un esfuerzo por pasar desapercibido, ya que el tr\u00e1fico saliente al servicio se considera leg\u00edtimo y es poco probable que se marque.<\/p>\n

“Los atacantes intentaron utilizar la identidad en la nube de la instancia de SQL Server accediendo al [instance metadata service] y obtener la clave de acceso a la identidad en la nube”, dijeron los investigadores. “La solicitud al punto final de la identidad IMDS devuelve las credenciales de seguridad (token de identidad) para la identidad en la nube”.<\/p>\n

\"La<\/a><\/center><\/div>\n

El objetivo final de la operaci\u00f3n parece haber sido abusar del token para realizar diversas operaciones en los recursos de la nube, incluido el movimiento lateral a trav\u00e9s del entorno de la nube, aunque termin\u00f3 en falla debido a un error no especificado.<\/p>\n

El desarrollo subraya la creciente sofisticaci\u00f3n de las t\u00e9cnicas de ataque basadas en la nube, con malos actores constantemente en busca de procesos, cuentas, identidades administradas y conexiones de bases de datos con exceso de privilegios para llevar a cabo m\u00e1s actividades maliciosas.<\/p>\n

“Esta es una t\u00e9cnica con la que estamos familiarizados en otros servicios en la nube, como las m\u00e1quinas virtuales y el cl\u00faster de Kubernetes, pero que no hab\u00edamos visto antes en instancias de SQL Server”, concluyeron los investigadores.<\/p>\n

“No proteger adecuadamente las identidades de la nube puede exponer las instancias de SQL Server y los recursos de la nube a riesgos similares. Este m\u00e9todo brinda una oportunidad para que los atacantes logren un mayor impacto no solo en las instancias de SQL Server sino tambi\u00e9n en los recursos de la nube asociados”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n