Microsoft avertizează asupra atacurilor de tip brute-force care vizează serverele MSSQL
https://www.bleepingcomputer.com
Compania Microsoft a avertizat cu privire la atacurile de tip brute-force care vizează serverele cu baze de date Microsoft SQL Server (MSSQL) expuse la internet și slab securizate.
Deși nu e prima dată când serverele MSSQL sunt ținta unor astfel de atacuri, Redmond spune că atacatorii din spatele acestei campanii folosesc tool-ul legitim sqlps.exe ca un LOLBin (prescurtare de la living-off-the-land binary).
Echipa Microsoft Security Intelligence a declarat că atacatorii obțin persistența fileless prin lansarea utilitarului sqlps.exe, un wrapper PowerShell pentru rularea de cmdlet-uri SQL-built, pentru a rula comenzi de recunoaștere și a schimba modul de pornire al serviciului SQL în LocalSystem. De asemenea, aceștia utilizează sqlps.exe pentru a crea un nou cont căruia îi adaugă rolul de sysadmin, ceea ce le permite să preia controlul total al serverului SQL.
Utilizarea sqlps, un utilitar care este inclus în Microsoft SQL Server și care permite încărcarea cmdlet-urilor SQL Server, ca LOLBin, le permite atacatorilor să execute comenzi PowerShell fără a li se detecta acțiunile malițioase.
De asemenea, ajută ca aceștia să nu fie detectați în timpul analizei atacurilor lor, deoarece utilizarea sqlps este o modalitate eficientă de a ocoli Script Block Logging, o capabilitate PowerShell care, în caz contrar, ar înregistra operațiunile cmdlet în jurnalul de evenimente Windows.
Atacuri similare împotriva serverelor MSSQL au fost raportate în luna martie, când acestea au fost vizate pentru a implementa troieni Gh0stCringe (alias CirenegRAT) pentru a avea acces de la distanță.
Într-o campanie anterioară din februarie, atacatorii au compromis servere MSSQL pentru a lansa Cobalt Strike beacons folosind comanda Microsoft SQL xp_cmdshell.
Administratorii sunt sfătuiți să nu expună serverele la internet, să utilizeze o parolă de administrator unică și complexă și să plaseze serverul în spatele unui firewall. De asemenea, aceștia ar trebui să monitorizeze activitățile suspecte sau neașteptate sau încercările repetate de autentificare și să aplice ultimele actualizări de securitate pentru a reduce posibilitățile de atac.
Sursă: https://www.bleepingcomputer.com/news/security/microsoft-warns-of-brute-force-attacks-targeting-mssql-servers/
