Microsoft, SQL Server Örneği Aracılığıyla Bulutu İhlal Etmeye Çalışan Siber Saldırılara Karşı Uyardı
Microsoft, yeni bir kampanyayı detaylandırdı,
Saldırganlar başarısız oldu, yana doğru hareket etmeye çalıştı,
Buluta bir SQL Server örneği aracılığıyla.
"Saldırganlar başlangıçta, hedefin ortamında bir uygulamada bir SQL enjeksiyon açığından faydalandı," dedi güvenlik araştırmacıları Sunders Bruskin, Hagai Ran Kestenberg ve Fady Nasereldeen Salı günü yayımlanan bir raporda.
"Bu, saldırganın Azure Sanal Makine'de (VM) dağıtılan bir Microsoft SQL Server örneğine erişim ve yükseltilmiş izinler elde etmesine izin verdi."
Sonraki aşamada, tehdit oluşturanlar yeni izinleri kullanarak yana doğru hareket etmeye çalıştılar,
Sunucunun bulut kimliğini suistimal ederek ek bulut kaynaklarına taşınmaya çalıştılar,
Bu kimlik, buluta erişimi olan çeşitli kötü amaçlı eylemleri gerçekleştirmek için yükseltilmiş izinlere sahip olabilir.
Microsoft, saldırganların bu tekniği kullanarak bulut kaynaklarına yana doğru başarılı bir şekilde hareket ettiğine dair herhangi bir kanıt bulamadığını söyledi.
"Azure gibi Bulut hizmetleri, farklı bulut kaynaklarına kimlik atamak için yönetilen kimlikleri kullanır," dedi araştırmacılar.
"Bu kimlikler, diğer bulut kaynakları ve hizmetlerle kimlik doğrulama için kullanılır."
Saldırı zincirinin başlangıç noktası, veritabanı sunucusuna yapılan bir SQL enjeksiyonu,
Saldırganın bilgi toplamak için sorgular çalıştırmasına olanak tanır,
Hedeflenen uygulamanın SQL enjeksiyon açığıyla hedef alındığı gözlemlenen müdahalelerde, yükseltilmiş izinlere sahip olduğu şüpheleniliyor,
Bu, saldırganların xp_cmdshell seçeneğini etkinleştirmesine izin veren işletim sistemini başlatmak için komutlar çalıştırmasına izin verir.