微软确认Azure攻击使用被攻破的SQL服务器

安全研究人员透露，黑客正在利用有缺陷的MicrosoftSQL服务器作为垫脚石，瞄准Azure虚拟机(VM)。

微软的专家最近报告了观察该方法的实际情况，这也是第一次有人以这种方式使用SQL服务器。

开始攻击时，威胁行为者首先会利用目标端点上应用程序中的SQL注入漏洞。在获得对AzureVM上托管的实例的访问权限(以及提升的权限)后，他们将运行SQL命令来提取有关数据库、表名称、架构、数据库版本等的数据。在某些情况下(取决于启动时针对的易受攻击的应用程序)，威胁参与者最终还可以通过SQL运行操作系统(OS)命令，从而允许他们读取目录、下载PowerShell脚本、通过计划任务运行后门、拉取用户凭证等等。

下一步是通过利用SQLServer实例的云身份来尝试访问即时元数据服务(IMDS)。这可以为他们提供云身份访问密钥-从而提供进入AzureVM的途径。

虽然微软的研究人员表示，他们观察到的攻击者由于错误而无法完全完成工作，但这种方法是“有效的”，并且可以被视为对各地组织的巨大威胁。攻击的最后一步是消除攻击发生过的任何痕迹。

为了确保他们的安全，建议组织在授予用户权限时应用最小权限原则。

微软研究人员在报告中警告说：“云身份保护不当可能会使SQLServer实例和云资源面临类似的风险。”“这种方法为攻击者提供了机会，不仅可以对SQLServer实例产生更大的影响，而且还可以对相关的云资源产生更大的影响。”

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！