Bilgisayar korsanları, yaygın kullanımları ve olası zayıflıkları nedeniyle sıklıkla Microsoft SQL sunucularını hedef alıyor.
Bu sunucular, düz kar elde etmek isteyen bilgisayar korsanlarının en önemli hedefidir; çünkü bu dolandırıcılar, özel bilgileri çalmak, fidye yazılımı saldırıları başlatmak veya sistemlere yetkisiz erişim elde etmek için sunucuları kullanır.
Microsoft’un siber güvenlik uzmanları yakın zamanda SQL Server aracılığıyla bulut ortamına beklenmedik bir yatay geçiş keşfetti.
Bu yaklaşım daha önce Microsoft SQL Server’da değil, yalnızca VM’lerde ve Kubernetes’te gözlemleniyordu.
Microsoft SQL Sunucularının Ele Geçirilmesi
Saldırganlar, SQL ekleme kusurundan yararlanarak Azure VM’nin SQL Server’ına erişim ve yükseltilmiş izinler elde etti. Daha sonra sunucunun kimliğini kullanarak yanal olarak diğer bulut kaynaklarına geçmeye çalıştılar.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Bulut kimlikleri, SQL Server’dakiler de dahil olmak üzere sıklıkla daha yüksek haklara sahiptir. Bu saldırı, SQL Server’ı ve bulut kaynaklarını istenmeyen erişimden korumak için bunları güvence altına almanın ne kadar önemli olduğunu vurguluyor.
Birkaç Microsoft Defender, ilk olarak SQL uyarıları için bildirilen saldırı yolunu tespit etti; bu, araştırmacıların bulut yanal hareket yaklaşımını incelemesine ve hedeflenen uygulamaya erişmeden ek savunmalar uygulamasına olanak tanıdı.
Bulut kaynaklarına başarılı bir yatay geçiş olduğuna dair bir kanıt bulunamasa da savunucuların bu SQL Server tekniğini anlamaları ve azaltma adımlarını atmaları gerekiyor.
Kuruluşlar buluta geçtikçe, özellikle şirket içinden buluta doğru yatay harekette yeni bulut tabanlı saldırı teknikleri ortaya çıkıyor.
Saldırganlar, Azure’dakiler gibi yönetilen bulut kimliklerini bulut sistemlerinde yanal mobilite aracı olarak kullanır. Bu kimlikler kolaylık sağlar ancak güvenlik tehlikeleri de mevcuttur.
Bilinen Teknik
Saldırıda geleneksel SQL Server stratejileri kullanılmasına rağmen, SQL Server’dan yana geçiş yeniydi. Erişim sağlayan ilk SQL enjeksiyonundan sonra ana bilgisayar, veritabanı ve ağ bilgilerini toplamak için birden fazla sorgu kullanıldı.
Saldırganların topladığı bilgilerden aşağıda bahsettik:
- Veritabanları
- Tablo adları ve şeması
- Veritabanı sürümü
- Ağ yapılandırması
- İzinleri oku
- Yazma izinleri
- İzinleri sil
Araştırmacılar, hedeflenen uygulamanın muhtemelen yükseltilmiş izinlere sahip olduğunu ve saldırganlara benzer erişim sağladığını öne sürüyor. Başlangıçta devre dışı bırakılan SQL sorguları aracılığıyla işletim sistemi komutlarını çalıştırmak için xp_cmdshell’i etkinleştirdiler.
Saldırganlar, xp_cmdshell’i etkinleştirip işletim sistemi komutlarını çalıştırdıktan sonra ana bilgisayar erişimi elde etti. Planlanmış bir iş aracılığıyla bilgi topladılar, kodlanmış komut dosyalarını indirdiler ve kalıcılığı korudular. Ayrıca kayıt defteri anahtarlarını sızdırarak kimlik bilgilerini ele geçirmeye çalıştılar.
Tehdit aktörleri, kamuya açık bir hizmet olan ‘webhook.site’yi kullanarak benzersiz bir veri filtreleme yöntemi kullandı. Bu gizli yaklaşım, verileri gizli bir şekilde iletmelerine olanak sağladı.
Ayrıca farklı bir ortamda tanıdık bir teknikten yararlanarak erişim anahtarını elde etmek için IMDS aracılığıyla SQL Server örneğinin bulut kimliğine erişmeye çalıştılar.
IMDS kimliğinin uç noktasına yapılan istek, bulut kimliğinin güvenlik bilgilerini alır. Saldırganlar burada başarısız olsa da bu teknik yanal hareketi mümkün kılabilir.
Bu yöntem, SQL Server örneklerinde bulut kimliklerinin bilinmeyen bir kullanımıdır ve bulut tabanlı tehditlerin gelişen ortamını vurgulamaktadır.
850’den fazla üçüncü taraf uygulamaya hızla yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.