Microsoft, SQL Server Örneği Aracılığıyla Bulutu İhlal Etmeye Çalışan Siber Saldırılara Karşı Uyardı - Dünyadan Güncel Teknoloji Haberleri

Microsoft, SQL Server Örneği Aracılığıyla Bulutu İhlal Etmeye Çalışan Siber Saldırılara Karşı Uyardı - Dünyadan Güncel Teknoloji Haberleri

Operasyonun nihai amacının, belirsiz bir hata nedeniyle başarısızlıkla sonuçlanmasına rağmen, bulut ortamında yanal hareket de dahil olmak üzere bulut kaynakları üzerinde çeşitli işlemler gerçekleştirmek için tokenı kötüye kullanmak olduğu görülüyor

Bu, keşif yürütmeyi, yürütülebilir dosyaları ve PowerShell komut dosyalarını indirmeyi ve bir arka kapı komut dosyasını başlatmak için zamanlanmış bir görev aracılığıyla kalıcılığı ayarlamayı içeriyordu

“Bulut kimliklerinin düzgün şekilde güvence altına alınmaması, SQL Server örneklerini ve bulut kaynaklarını benzer risklere maruz bırakabilir

Bu gelişme, kötü aktörlerin daha fazla kötü amaçlı etkinlik gerçekleştirmek için sürekli olarak aşırı ayrıcalıklı süreçleri, hesapları, yönetilen kimlikleri ve veritabanı bağlantılarını gözetlemesiyle bulut tabanlı saldırı tekniklerinin artan karmaşıklığının altını çiziyor ”

Bir sonraki aşamada, tehdit aktörleri, kimliğin erişebildiği bulutta çeşitli kötü amaçlı eylemleri gerçekleştirmek için yükseltilmiş izinlere sahip olabilecek sunucunun bulut kimliğini kötüye kullanarak ek bulut kaynaklarına yatay olarak geçmeyi denemek için yeni izinlerden yararlandı “IMDS kimliğinin uç noktasına yapılan istek, bulut kimliği için güvenlik kimlik bilgilerini (kimlik belirtecini) döndürür “Bu kimlikler diğer bulut kaynakları ve hizmetleriyle kimlik doğrulama için kullanılıyor

“Bu, saldırganın Azure Sanal Makinesi’nde (VM) konuşlandırılan bir Microsoft SQL Server örneğine erişim ve yükseltilmiş izinler elde etmesine olanak sağladı Bu yöntem, saldırganlara yalnızca SQL Server örnekleri üzerinde değil, aynı zamanda ilgili bulut kaynakları üzerinde de daha büyük etki elde etme fırsatı sağlar

Veri sızdırma, webhook adı verilen kamuya açık bir araçtan faydalanılarak gerçekleştirilir

Gözlemlenen izinsiz girişlerde, SQL enjeksiyon güvenlik açığıyla hedeflenen uygulamanın, saldırganların bir sonraki aşamaya geçmek için işletim sistemi komutlarını başlatmak üzere xp_cmdshell seçeneğini etkinleştirmesine izin veren yükseltilmiş izinlere sahip olduğundan şüpheleniliyor

Güvenlik araştırmacıları Sunders Bruskin, Hagai Ran Kestenberg ve Fady Nasereldeen, “Saldırganlar başlangıçta hedefin ortamındaki bir uygulamadaki SQL enjeksiyon güvenlik açığından yararlandı

Microsoft, saldırganların bu tekniği kullanarak başarılı bir şekilde bulut kaynaklarına doğru ilerlediğini gösteren herhangi bir kanıt bulamadığını söyledi

“Saldırganlar, SQL Server örneğinin bulut kimliğinden yararlanmaya çalıştı ” söz konusu Salı günü yayınlanan bir raporda

Araştırmacılar, “Bu, VM’ler ve Kubernetes kümesi gibi diğer bulut hizmetlerinde aşina olduğumuz ancak daha önce SQL Server örneklerinde görmediğimiz bir tekniktir” sonucuna vardı [instance metadata service] ve bulut kimliği erişim anahtarının elde edilmesi” dedi araştırmacılar ]Hizmete giden trafiğin meşru kabul edilmesi ve işaretlenmesinin olası olmaması nedeniyle, radar altında kalma çabasıyla site ”

Saldırı zincirinin başlangıç ​​noktası, saldırganın ana bilgisayar, veritabanları ve ağ yapılandırması hakkında bilgi toplamak için sorgular çalıştırmasına olanak tanıyan, veritabanı sunucusuna yapılan bir SQL enjeksiyonudur


04 Eki 2023Haber odasıBulut Güvenliği / Siber Tehdit

Microsoft, saldırganların bir SQL Server örneği aracılığıyla bulut ortamına yatay olarak geçmeyi denediği yeni bir kampanyanın ayrıntılarını açıkladı [

Araştırmacılar, “Azure gibi bulut hizmetleri, kimlikleri çeşitli bulut kaynaklarına tahsis etmek için yönetilen kimlikleri kullanıyor” dedi ”



siber-2