Microsoft belicht nieuwe hacker tactiek gericht op Azure Cloud

Microsoft meldt in een blog:  'Deze aanvalstechniek demonstreert een aanpak die we hebben gezien in andere cloudservices zoals VM's en Kubernetes-clusters, maar niet in SQL Server. 

De aanvallers maakten in eerste instantie misbruik van een SQL-injectiekwetsbaarheid in een applicatie binnen de omgeving van het doelwit. Hierdoor kon de aanvaller toegang krijgen tot en verhoogde machtigingen krijgen voor een Microsoft SQL Server-exemplaar dat was geïmplementeerd in Azure Virtual Machine (VM). 

De aanvallers gebruikten vervolgens de verkregen verhoogde toestemming om te proberen lateraal naar extra cloudbronnen te gaan door misbruik te maken van de cloudidentiteit van de server. Cloudidentiteiten worden vaak gebruikt in cloudservices, waaronder SQL Server, en beschikken mogelijk over verhoogde machtigingen om acties in de cloud uit te voeren.

De aanvalsstroom die we observeerden, veroorzaakte meerdere Microsoft Defender voor SQL-waarschuwingen waarmee we de laterale bewegingstechniek van de cloud konden identificeren en analyseren. 

Dankzij de waarschuwingen konden we snel extra beveiliging implementeren, ondanks dat we geen zicht hadden op de applicatie die het doelwit was van de SQL-injectiekwetsbaarheid om toegang te krijgen tot de SQL Server. Hoewel onze analyse van deze aanval geen enkele indicatie opleverde dat de aanvallers met succes lateraal naar de cloudbronnen zijn verhuisd, zijn we van mening dat het belangrijk is dat verdedigers zich bewust zijn van deze techniek die wordt gebruikt in SQL Server-instances, en welke stappen ze moeten nemen om potentiële aanvallen te beperken. aanvallen.'

Lees alle details hier.