SQL Injection, una vulnerabilità prende di mira le VM Azure Cloud

Microsoft ha allertato riguardo ad una nuova campagna in cui gli attaccanti hanno tentato senza successo di spostarsi lateralmente in un ambiente cloud attraverso un’istanza di SQL Server.

Il flusso d’attacco

Gli attacchi osservati da Microsoft iniziano con lo sfruttamento di una vulnerabilità SQL injection in un’applicazione nell’ambiente del target.

Fonte Microsoft

Ciò avrebbe consentito agli autori delle minacce di accedere all’istanza di SQL Server ospitata sulla macchina virtuale di Azure con autorizzazioni elevate per eseguire comandi SQL ed estrarre in tal modo dati su database, schemi e configurazioni di rete. Inoltre la disponibilità di autorizzazioni elevate, avrebbe consentito agli aggressori di attivare il comando “xp_cmdshell” per eseguire comandi del sistema operativo tramite SQL e proseguire con le fasi successive dell’attacco:

  • Persistenza. Gli aggressori hanno utilizzato un’attività pianificata per avviare uno script backdoor. Inoltre, hanno cercato di ottenere credenziali scaricando le chiavi di registro SAM e SECURITY.
  • Esfiltrazione. Gli aggressori hanno utilizzato un servizio accessibile al pubblico chiamato “webhook.site”.
  • Movimento laterale. Gli attaccanti hanno fruttato l’identità cloud dell’istanza di SQL Server per accedere all’IMDS (Instant Metadata Service) e ottenere la chiave di accesso dell’identità cloud.

Infine per cancellare ogni traccia gli autori delle minacce hanno eliminato tutti gli script scaricati e le modifiche temporanee del database.

Una grave minaccia per le organizzazioni

L’utilizzo di un servizio legittimo per l’esfiltrazione dei dati rende meno probabile che l’attività sollevi allarmi da parte di prodotti di sicurezza consentendo agli aggressori di operare indisturbati.

Sebbene Microsoft affermi che gli attaccanti non sono riusciti a sfruttare con successo questo abuso, l’approccio resta senza alcun dubbio una grave minaccia per le organizzazioni.

Il principio del privilegio minimo

Per mitigare la minaccia, Microsoft consiglia di applicare il principio del privilegio minimo:

Questo attacco evidenzia inoltre l’importanza delle pratiche di privilegio minimo durante la progettazione e l’implementazione di soluzioni basate su cloud e on-premise. Gli aggressori sono spesso in grado di condurre ulteriori attività dannose abusando di processi, account, identità gestite e connessioni di database con privilegi eccessivi. In questo caso, si consiglia alle organizzazioni di garantire che tutte le applicazioni siano aggiornate e protette e che ricevano solo le autorizzazioni e i privilegi necessari, per evitare di mettere a rischio le istanze SQL Server connesse, nonché altre risorse cloud.“.

Ulteriori suggerimenti per la mitigazione sono riportati alla fine del rapporto.

Su Salvatore Lombardo 229 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.