Microsoft, saldırganların bir SQL Server örneği aracılığıyla bulut ortamına yatay olarak geçmeyi denediği yeni bir kampanyanın ayrıntılarını açıkladı.
Güvenlik araştırmacıları Sunders Bruskin, Hagai Ran Kestenberg ve Fady Nasereldeen Salı günkü bir raporda, “Saldırganlar başlangıçta hedefin ortamındaki bir uygulamadaki SQL enjeksiyon güvenlik açığından yararlandı” dedi.
“Bu, saldırganın Azure Sanal Makinesi’nde (VM) konuşlandırılan bir Microsoft SQL Server örneğine erişim ve yükseltilmiş izinler elde etmesine olanak sağladı.”
Bir sonraki aşamada, tehdit aktörleri, kimliğin erişebildiği bulutta çeşitli kötü amaçlı eylemleri gerçekleştirmek için yükseltilmiş izinlere sahip olabilecek sunucunun bulut kimliğini kötüye kullanarak ek bulut kaynaklarına yatay olarak geçmeyi denemek için yeni izinlerden yararlandı.
Microsoft, saldırganların bu tekniği kullanarak başarılı bir şekilde bulut kaynaklarına doğru ilerlediğini gösteren herhangi bir kanıt bulamadığını söyledi.
Araştırmacılar, “Azure gibi bulut hizmetleri, kimlikleri çeşitli bulut kaynaklarına tahsis etmek için yönetilen kimlikleri kullanıyor” dedi. “Bu kimlikler diğer bulut kaynakları ve hizmetleriyle kimlik doğrulama için kullanılıyor.”
Saldırı zincirinin başlangıç noktası, saldırganın ana bilgisayar, veritabanları ve ağ yapılandırması hakkında bilgi toplamak için sorgular çalıştırmasına olanak tanıyan, veritabanı sunucusuna yapılan bir SQL enjeksiyonudur.
Gözlemlenen izinsiz girişlerde, SQL enjeksiyon güvenlik açığıyla hedeflenen uygulamanın, saldırganların bir sonraki aşamaya geçmek için işletim sistemi komutlarını başlatmak üzere xp_cmdshell seçeneğini etkinleştirmesine izin veren yükseltilmiş izinlere sahip olduğundan şüpheleniliyor.
Bu, keşif yürütmeyi, yürütülebilir dosyaları ve PowerShell komut dosyalarını indirmeyi ve bir arka kapı komut dosyasını başlatmak için zamanlanmış bir görev aracılığıyla kalıcılığı ayarlamayı içeriyordu.
Veri sızdırma, webhook adı verilen, halka açık bir araçtan yararlanılarak gerçekleştirilir.[.]Hizmete giden trafiğin meşru kabul edilmesi ve işaretlenmesi pek mümkün olmadığından, siteyi radar altında kalmamak için kullanıyor.
“Saldırganlar, SQL Server örneğinin bulut kimliğinden yararlanmaya çalıştı. [instance metadata service] ve bulut kimliği erişim anahtarının elde edilmesi” dedi araştırmacılar. “IMDS kimliğinin uç noktasına yapılan istek, bulut kimliği için güvenlik kimlik bilgilerini (kimlik belirtecini) döndürür.”
Operasyonun nihai amacının, belirsiz bir hata nedeniyle başarısızlıkla sonuçlanmasına rağmen, bulut ortamında yanal hareket de dahil olmak üzere bulut kaynakları üzerinde çeşitli işlemler gerçekleştirmek için tokenı kötüye kullanmak olduğu görülüyor.
Bu gelişme, kötü aktörlerin daha fazla kötü amaçlı etkinlik gerçekleştirmek için sürekli olarak aşırı ayrıcalıklı süreçleri, hesapları, yönetilen kimlikleri ve veritabanı bağlantılarını gözetlemesiyle bulut tabanlı saldırı tekniklerinin artan karmaşıklığının altını çiziyor.
Araştırmacılar, “Bu, VM’ler ve Kubernetes kümesi gibi diğer bulut hizmetlerinde aşina olduğumuz ancak daha önce SQL Server örneklerinde görmediğimiz bir tekniktir” sonucuna vardı.
“Bulut kimliklerinin düzgün şekilde güvence altına alınmaması, SQL Server örneklerini ve bulut kaynaklarını benzer risklere maruz bırakabilir. Bu yöntem, saldırganlara yalnızca SQL Server örnekleri üzerinde değil, aynı zamanda ilgili bulut kaynakları üzerinde de daha büyük etki elde etme fırsatı sağlar.”