MS-SQL serveri sadrže mnoštvo osjetljivih informacija, zbog čega ih hakeri često ciljaju, omogućavajući im pristup kritično važnim sistemima.
Iskorištavanje ranjivosti ovih servera omogućava hakerima da dobiju neovlašteni pristup. Ovi hakeri mogu izvršavati neovlaštene komande i potencijalno upravljati cijelim mrežama, olakšavajući krađu podataka i implementaciju ransomware-a, između ostalih zlonamjernih aktivnosti.
Istraživači sajber sigurnosti u ASEC-u su nedavno otkrili da hakeri aktivno iskorištavaju MS-SQL servere za napad na Windows servere.
Hakeri eksploatišu MS-SQL servere
Loše upravljanje krednecijalima i javno izlaganje interenetu čine MS-SQL servere poznatim vektorom napada za hakere koji ciljaju windows sisteme.
Hakeri instaliraju zlonamjerni softver poput ransomware-a, RAT-ova i backdoor-a kako bi dobili dalju kontrolu nad sistemom nakon što osiguraju administratorski pristup putem brute-forcing-a.
Rano otkrivanje sumnjivih aktivnosti povezanih s napadima na MS-SQL servere moguće je korištenjem odgovarajućeg i čvrstog rješenja za otkrivanje i odgovor krajnjih tačaka (EDR) koje koristi praćenje motora zasnovano na ponašanju.
Pošto ovo omogućava administratorima da identifikuju osnovne uzroke, poduzmu odgovarajuće mjere i uvedu protumjere protiv ponovljenih prijetnji koje iskorištavaju ovaj metod napada.
Hakeri obično skeniraju MS-SQL servere sa otvorenim portom 1433, a zatim pokušavaju da dobiju SQL administratorski pristup putem brute-forcing-a ili dictionary napada na slabe kredencijale, navodi se u izveštaju.
Neki zlonamjerni softver kao što je LemonDuck također se može samostalno širiti u loše zaštićena MS-SQL okruženja.
Dok LemonDuck koristi tvrdo kodiranu listu lozinki, drugi poput Kingminer-a i Vollgar-a koriste burte-forcing korištenje eksterno izloženih servera.
SQL administratorske privilegije kontrolišu samo MS-SQL baze podataka, ali ne i Windows OS direktno, ali MS-SQL ima funkcionalnosti kao što su xp_cmdshell i OLE automatizacione procedure koje dozvoljavaju izvršavanje naredbi OS-a
Shodno tome, LemonDuck ih koristi da dobije početni SQL administratorski pristup, a zatim preuzima i pokreće druge zlonamjerne komponente.
Neki čak vraćaju onemogućene mogućnosti u proceduri.
LemonDuck koristi CLR .NET procedure zajedno sa xp_cmdshell za slične svrhe, naprotiv, MyKings koristi proširene pohranjene procedure za učitavanje zlonamjernih DLL-ova.
Hakeri mogu koristiti funkcije kao što su xp_cmdshell, OLE procedure ili CLR SQLShell nakon što ih konfigurišu za izvršavanje naredbe OS-a za izvršavanje zlonamjernog koda direktno preko usluge sqlservr.exe.
Administratori bi trebali primijeniti jake kredencijale, ažuriranja i ograničiti vanjski pristup MS-SQL instancama, koje se obično nalaze zajedno s ERP i poslovnim rješenjima, kako bi se rizici smanjili.
Izvor: CyberSecurityNews