Bulut Güvenliği, Güvenlik Operasyonları
Microsoft Olağandışı Hackleme Girişimini Açıkladı
Prajeet Nair (@prajeetspeaks) •
4 Ekim 2023
Microsoft, bilgisayar korsanlarının sanal bir SQL sunucusunu tehlikeye attıktan sonra Azure bulutu üzerinde yatay olarak hareket etmeye çalıştıkları olağandışı bir bilgisayar korsanlığı kampanyası tespit ettiğini söyledi.
Ayrıca bakınız: Canlı Web Semineri Yarın | Kafanızı Buluta Taşıyın: Modern Güvenlik Sorunları ve Çözümleri
Şirket Salı günkü bir blog yazısında, bunun, bilgi işlem devinin siber savunucularının ilk kez Azure bulutunda başlangıç noktası SQL Server olan bir yanal hareket girişimini gördüklerine işaret ettiğini söylüyor. Bilgisayar korsanları bunu daha önce VM’ler ve Kubernetes kümeleriyle yapmıştı ancak “ancak SQL Server’da yapmamıştı.”
Microsoft, hackerları tespit etmesine rağmen bu girişimi açıkladığını, böylece savunmacıların “SQL Server örneklerinde kullanılan bu teknikten haberdar olabileceğini” söylüyor.
Yanal hareket, verilere ve sistemlere daha fazla erişim için başlangıç noktası olarak ağdaki ilk dayanağı kullanan, ekmek ve tereyağı hackleme yöntemidir. Microsoft’un belirttiği gibi bulut bilişimin yükselişi, bilgisayar korsanlarının yatay hareket elde etmek için yeni yöntemler aramasına yol açıyor. Tekniklerden biri, saldırıya uğramış bulut kaynağının kimliğini (bulut kimliğini) kullanarak bulut kiracısının erişebildiği diğer kaynaklara yönelmektir.
Bilgisayar korsanları, muhtemelen kiracının Azure ortamında yükseltilmiş izinlere sahip bir uygulamaya SQL ekleme saldırısıyla başladı. Saldırganlar bu özelliği açmak için yükseltilmiş izni kullandı xp_cmdshell, işletim sistemi komutlarını bir SQL sorgusu aracılığıyla başlatma yöntemi. Microsoft, önlem olarak SQL Server’da komutu varsayılan olarak kapatır.
Microsoft, bilgisayar korsanlarının dizin okuma, işlemleri listeleme, “birkaç yürütülebilir dosya ve PowerShell komut dosyası” indirme gibi tipik bilgisayar korsanlığı davranışları sergilediğini söylüyor.
Redmond’un dikkatini çeken şey daha sonra yaptıklarıydı. Sanal SQL Server’ın bulut kimlik erişim anahtarını elde etmek için Azure Örnek Meta Veri Hizmetini (diğer adıyla IMDS) kullandılar. IMDS sorgusu, kimlik taleplerini ve imzasını içeren JSON Web Token gibi verileri döndürür.
Kimlik belirteciyle bilgisayar korsanları SQL Server’ın ötesine geçerek diğer bulut kaynaklarına gidebilirlerdi. Microsoft, “bir hata nedeniyle” başarısız olduklarını söylüyor. Şirket, gelecekteki benzer girişimleri önlemenin bir yolunun, bulut kaynaklarının gereken en az ayrıcalık düzeyinde çalıştığından emin olmak olduğunu söylüyor.