Hackerangriff auf Microsoft SQL Server in der Cloud: Neue seitwärtsbewegende Technik entdeckt

Hacker haben es mal wieder geschafft, für Aufsehen zu sorgen. Dieses Mal haben sie versucht, Cloud-Umgebungen über den Microsoft SQL Server anzugreifen. Das Besondere an diesem Angriff ist, dass die Hacker eine seitwärtsbewegende Technik verwendet haben, die zuvor bei Angriffen auf andere Dienste beobachtet wurde, aber noch nie beim SQL Server.

Die Sicherheitsforscher von Microsoft haben festgestellt, dass die Angriffe mit der Ausnutzung einer SQL-Injection-Schwachstelle in einer Anwendung in der Umgebung des Ziels beginnen. Dadurch erhalten die Angreifer Zugriff auf die SQL Server-Instanz, die auf einer Azure Virtual Machine gehostet wird. Mit erhöhten Berechtigungen können sie dann SQL-Befehle ausführen und wertvolle Daten extrahieren. Das kann Datenbanken, Tabellennamen, Schemata, Datenbankversionen, Netzwerkkonfigurationen und Lese-/Schreib-/Löschberechtigungen umfassen.

Wenn die kompromittierte Anwendung über erhöhte Berechtigungen verfügt, können die Angreifer sogar den Befehl „xp_cmdshell“ aktivieren. Das ermöglicht es ihnen, Betriebssystembefehle über SQL auszuführen und eine Shell im Host zu erhalten. Das ist natürlich alles andere als gut.

Die von den Angreifern ausgeführten Befehle umfassen unter anderem die Verwendung eines legitimen Dienstes für die Datenexfiltration. Dadurch wird die Aktivität weniger verdächtig und ruft keine Warnungen von Sicherheitsprodukten hervor. Die Angreifer können also die Daten diskret vom Host stehlen.

Danach haben die Angreifer versucht, die Cloud-Identität der SQL Server-Instanz auszunutzen, um auf den Instant Metadata Service (IMDS) zuzugreifen und den Zugriffsschlüssel für die Cloud-Identität zu erhalten. In Azure werden Ressourcen oft verwalteten Identitäten zugewiesen, um sich bei anderen Cloud-Ressourcen und -Diensten anzumelden. Wenn die Angreifer im Besitz dieses Tokens sind, können sie auf alle Cloud-Ressourcen zugreifen, für die die Identität Berechtigungen hat.

Glücklicherweise waren die Angreifer aufgrund von Fehlern nicht erfolgreich, aber das bedeutet nicht, dass diese Technik nicht weiterhin eine ernsthafte Bedrohung für Organisationen darstellt. Microsoft hat daher empfohlen, Defender for Cloud und Defender for Endpoint zu verwenden, um SQL-Injection und verdächtige SQLCMD-Aktivitäten zu erkennen. Beide wurden bei diesem Angriff eingesetzt.

Um die Bedrohung zu mindern, empfiehlt Microsoft außerdem, das Prinzip des geringsten Privilegs bei der Vergabe von Benutzerberechtigungen anzuwenden. Das mag zwar Reibung bei seitwärtsbewegenden Versuchen hinzufügen, ist aber eine effektive Maßnahme, um die Ausbreitung von Angriffen zu erschweren.

Wer auf der Suche nach konkreten Jagdabfragen ist, um sich gegen solche Angriffe zu schützen, findet sie im Anhang des Berichts von Microsoft. Es ist wichtig, dass Unternehmen die nötigen Schritte unternehmen, um ihre Cloud-Umgebungen vor solchen Angriffen zu schützen. Denn wie dieser Vorfall zeigt, sind Hacker immer wieder auf der Suche nach neuen Möglichkeiten, um an wertvolle Daten zu gelangen.

Schlagwörter: SQLInjectionSchwachstelle + Datenexfiltration + CloudIdentitätsausnutzung

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 11. Oktober 2023
FEHLER!