I ricercatori di Microsoft hanno identificato attacchi recenti contro le macchine virtuali di Azure. La novità è rappresentata dall’uso di una vulnerabilità di SQL Server per ottenere l’accesso all’ambiente cloud, elevare i privilegi ed esfiltrare i dati. L’azienda di Redmond ha fornito alcuni suggerimenti per limitare i rischi.
Movimento laterale sul cloud
Microsoft sottolinea che molte aziende usano i servizi cloud, quindi i cybercriminali devono adattare le loro tecniche per effettuare il movimento laterale, ovvero la ricerca di informazioni nelle istanze dopo l’accesso iniziale. Uno dei metodi sfrutta le identità associate alle risorse cloud che permettono l’autenticazione ad altri servizi. Per la prima volta questa tecnica è stata applicata alle istanze SQL Server.
Gli attacchi rilevati da Microsoft iniziano con lo sfruttamento di una vulnerabilità SQL injection in un’applicazione (ignota) che aveva permessi elevati. I cybercriminali hanno quindi eseguito diverse query per raccogliere informazioni su database, nomi delle tabelle, configurazione della rete e permessi di lettura/scrittura/cancellazione.
I permessi elevati hanno consentito di attivare xp_cmdshell
ed eseguire comandi nel sistema operativo attraverso query SQL. I cybercriminali hanno raccolto informazioni su directory, processi e condivisioni di rete, scaricato eseguibili e script PowerShell, impostato un’attività pianificata per lanciare uno script backdoor (persistenza), effettuato il dumping delle chiavi di registro SAM e SECURITY.
L’esfiltrazione dei dati è stata effettuata con il servizio gratuito webhook.site, il cui traffico in uscita viene considerato legittimo. Infine, i cybercriminali hanno provato ad accedere a IMDS (Instant Metadata Service) per ottenere il token che permette di accedere ad altre risorse cloud.
Microsoft consiglia di usare Defender for Cloud e Defender for Endpoint per rilevare attacchi che sfruttano vulnerabilità SQL injection e l’uso sospetto di xp_cmdshell
.