Nieznani złośliwi aktorzy wykorzystują ataki brute-force w celu uzyskania dostępu do słabo chronionych baz danych Microsoft SQL Server udostępnionych w Internecie.
Gigant oprogramowania z Redmond wydał ostrzeżenie wyjaśniające, w jaki sposób można złamać zabezpieczenia baz danych ze słabymi hasłami:
„Atakujący osiągają trwałość bez plików, generując narzędzie sqlps.exe, opakowanie PowerShell do uruchamiania poleceń cmdlet SQL, wykonywania poleceń uzgadniania i zmiany trybu uruchamiania usługi SQL na LocalSystem” – ujawnił pożyczkodawca zespołu wywiadowczego Microsoft.
Serwery obiektywne
Innymi słowy, osoby atakujące korzystają z narzędzia sqlps.exe, które jest legalnym programem, a nie złośliwym oprogramowaniem, takim jak Living Off The Land Binary (LOLBin).
„Osoby atakujące używają również programu sqlps.exe do utworzenia nowego konta, które dodają do roli administratora systemu, co pozwala im przejąć pełną kontrolę nad serwerem SQL. Następnie zyskują możliwość wykonywania innych działań, w tym wdrażania ładunków takich jak koparki monet”.
Sqlps to narzędzie dołączone do Microsoft SQL Server, które umożliwia użytkownikom ładowanie poleceń cmdlet SQL Server. Bleeping Computer twierdzi, że za pomocą narzędzia takiego jak LOLBin napastnicy mogą wykonywać polecenia PowerShell bez wykrycia przez programy antywirusowe lub podobne rozwiązania cyberbezpieczeństwa.
Dodatkowo narzędzie nie pozostawia prawie żadnych śladów, ponieważ pomija rejestrację bloku skryptu.
Administratorzy systemów mogą zrobić wiele rzeczy, aby chronić swoje instalacje przed tego typu atakami, przede wszystkim nie narażając ich na kontakt z Internetem. W przypadku, gdy baza danych musi znajdować się w trybie online, kolejnym najlepszym rozwiązaniem jest silne hasło, którego nie można odgadnąć ani zmienić. Oznacza to posiadanie hasła składającego się z co najmniej ośmiu znaków, wielkich i małych liter, a także cyfr i symboli.
Dodatkowo administratorom zaleca się umieszczenie serwera za zaporą ogniową.
Wreszcie mogą włączyć rejestrowanie i monitorować podejrzane lub nieoczekiwane działania lub powtarzające się próby logowania.
Przez: BleepingComputer