Hacker haben es mal wieder geschafft, f\u00fcr Aufsehen zu sorgen. Dieses Mal haben sie versucht, Cloud-Umgebungen \u00fcber den Microsoft SQL Server anzugreifen. Das Besondere an diesem Angriff ist, dass die Hacker eine seitw\u00e4rtsbewegende Technik verwendet haben, die zuvor bei Angriffen auf andere Dienste beobachtet wurde, aber noch nie beim SQL Server.<\/p>\n
Die Sicherheitsforscher von Microsoft haben festgestellt, dass die Angriffe mit der Ausnutzung einer SQL-Injection-Schwachstelle in einer Anwendung in der Umgebung des Ziels beginnen. Dadurch erhalten die Angreifer Zugriff auf die SQL Server-Instanz, die auf einer Azure Virtual Machine gehostet wird. Mit erh\u00f6hten Berechtigungen k\u00f6nnen sie dann SQL-Befehle ausf\u00fchren und wertvolle Daten extrahieren. Das kann Datenbanken, Tabellennamen, Schemata, Datenbankversionen, Netzwerkkonfigurationen und Lese-\/Schreib-\/L\u00f6schberechtigungen umfassen.<\/p>\n
Wenn die kompromittierte Anwendung \u00fcber erh\u00f6hte Berechtigungen verf\u00fcgt, k\u00f6nnen die Angreifer sogar den Befehl „xp_cmdshell“ aktivieren. Das erm\u00f6glicht es ihnen, Betriebssystembefehle \u00fcber SQL auszuf\u00fchren und eine Shell im Host zu erhalten. Das ist nat\u00fcrlich alles andere als gut.<\/p>\n
Die von den Angreifern ausgef\u00fchrten Befehle umfassen unter anderem die Verwendung eines legitimen Dienstes f\u00fcr die Datenexfiltration. Dadurch wird die Aktivit\u00e4t weniger verd\u00e4chtig und ruft keine Warnungen von Sicherheitsprodukten hervor. Die Angreifer k\u00f6nnen also die Daten diskret vom Host stehlen.<\/p>\n
Danach haben die Angreifer versucht, die Cloud-Identit\u00e4t der SQL Server-Instanz auszunutzen, um auf den Instant Metadata Service (IMDS) zuzugreifen und den Zugriffsschl\u00fcssel f\u00fcr die Cloud-Identit\u00e4t zu erhalten. In Azure werden Ressourcen oft verwalteten Identit\u00e4ten zugewiesen, um sich bei anderen Cloud-Ressourcen und -Diensten anzumelden. Wenn die Angreifer im Besitz dieses Tokens sind, k\u00f6nnen sie auf alle Cloud-Ressourcen zugreifen, f\u00fcr die die Identit\u00e4t Berechtigungen hat.<\/p>\n
Gl\u00fccklicherweise waren die Angreifer aufgrund von Fehlern nicht erfolgreich, aber das bedeutet nicht, dass diese Technik nicht weiterhin eine ernsthafte Bedrohung f\u00fcr Organisationen darstellt. Microsoft hat daher empfohlen, Defender for Cloud und Defender for Endpoint zu verwenden, um SQL-Injection und verd\u00e4chtige SQLCMD-Aktivit\u00e4ten zu erkennen. Beide wurden bei diesem Angriff eingesetzt.<\/p>\n
Um die Bedrohung zu mindern, empfiehlt Microsoft au\u00dferdem, das Prinzip des geringsten Privilegs bei der Vergabe von Benutzerberechtigungen anzuwenden. Das mag zwar Reibung bei seitw\u00e4rtsbewegenden Versuchen hinzuf\u00fcgen, ist aber eine effektive Ma\u00dfnahme, um die Ausbreitung von Angriffen zu erschweren.<\/p>\n
Wer auf der Suche nach konkreten Jagdabfragen ist, um sich gegen solche Angriffe zu sch\u00fctzen, findet sie im Anhang des Berichts von Microsoft. Es ist wichtig, dass Unternehmen die n\u00f6tigen Schritte unternehmen, um ihre Cloud-Umgebungen vor solchen Angriffen zu sch\u00fctzen. Denn wie dieser Vorfall zeigt, sind Hacker immer wieder auf der Suche nach neuen M\u00f6glichkeiten, um an wertvolle Daten zu gelangen.<\/p>\n
Schlagw\u00f6rter: SQLInjectionSchwachstelle + Datenexfiltration + CloudIdentit\u00e4tsausnutzung<\/p>\n","protected":false},"excerpt":{"rendered":"
Hacker haben es mal wieder geschafft, f\u00fcr Aufsehen zu sorgen. Dieses Mal haben sie versucht, Cloud-Umgebungen \u00fcber den Microsoft SQL Server anzugreifen. Das Besondere an diesem Angriff ist, dass die Hacker eine seitw\u00e4rtsbewegende Technik verwendet haben, die zuvor bei Angriffen auf andere Dienste beobachtet wurde, aber noch nie beim SQL...<\/p>\n","protected":false},"author":4,"featured_media":151,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-152","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/152","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=152"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/152\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/151"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=152"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=152"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=152"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}