Microsoft a détaillé une nouvelle campagne dans laquelle des attaquants ont tenté sans succès de se déplacer latéralement vers un environnement cloud via une instance SQL Server.
« Les attaquants ont initialement exploité une vulnérabilité d’injection SQL dans une application au sein de l’environnement cible », ont déclaré les chercheurs en sécurité Sunders Bruskin, Hagai Ran Kestenberg et Fady Nasereldeen. dit dans un rapport de mardi.
« Cela a permis à l’attaquant d’obtenir un accès et des autorisations élevées sur une instance Microsoft SQL Server déployée dans Azure Virtual Machine (VM). »
Dans l’étape suivante, les auteurs de la menace ont exploité les nouvelles autorisations pour tenter de se déplacer latéralement vers des ressources cloud supplémentaires en abusant de l’identité cloud du serveur, qui peut posséder des autorisations élevées pour probablement effectuer diverses actions malveillantes dans le cloud auquel l’identité a accès.
Microsoft a déclaré n’avoir trouvé aucune preuve suggérant que les attaquants avaient réussi à migrer latéralement vers les ressources cloud en utilisant cette technique.
« Les services cloud comme Azure utilisent des identités gérées pour attribuer des identités aux différentes ressources cloud », ont déclaré les chercheurs. « Ces identités sont utilisées pour l’authentification auprès d’autres ressources et services cloud. »
Le point de départ de la chaîne d’attaque est une injection SQL contre le serveur de base de données qui permet à l’adversaire d’exécuter des requêtes pour collecter des informations sur l’hôte, les bases de données et la configuration du réseau.
Dans les intrusions observées, il est soupçonné que l’application ciblée par la vulnérabilité d’injection SQL disposait d’autorisations élevées, ce qui a permis aux attaquants d’activer l’option xp_cmdshell pour lancer les commandes du système d’exploitation afin de passer à la phase suivante.
Cela comprenait la réalisation de reconnaissances, le téléchargement d’exécutables et de scripts PowerShell, ainsi que la configuration de la persistance via une tâche planifiée pour démarrer un script de porte dérobée.
L’exfiltration des données est réalisée en tirant parti d’un outil accessible au public appelé webhook[.]site dans le but de rester sous le radar, car le trafic sortant vers le service est considéré comme légitime et peu susceptible d’être signalé.
« Les attaquants ont tenté d’utiliser l’identité cloud de l’instance SQL Server en accédant au [instance metadata service] et l’obtention de la clé d’accès à l’identité cloud », ont déclaré les chercheurs. « La requête adressée au point final de l’identité IMDS renvoie les informations d’identification de sécurité (jeton d’identité) pour l’identité cloud. »
Le but ultime de l’opération semble avoir été d’abuser du jeton pour effectuer diverses opérations sur les ressources cloud, y compris des mouvements latéraux à travers l’environnement cloud, bien qu’elle se soit soldée par un échec en raison d’une erreur non spécifiée.
Ce développement souligne la sophistication croissante des techniques d’attaque basées sur le cloud, les acteurs malveillants étant constamment à la recherche de processus, de comptes, d’identités gérées et de connexions de bases de données surprivilégiés pour mener d’autres activités malveillantes.
« Il s’agit d’une technique que nous connaissons bien dans d’autres services cloud tels que les machines virtuelles et le cluster Kubernetes, mais que nous n’avons jamais vue auparavant dans les instances SQL Server », ont conclu les chercheurs.
« Une mauvaise sécurisation des identités cloud peut exposer les instances SQL Server et les ressources cloud à des risques similaires. Cette méthode offre aux attaquants la possibilité d’avoir un impact plus important non seulement sur les instances SQL Server, mais également sur les ressources cloud associées. »