Microsoft warnt vor Cyberangriffen auf die Cloud
Microsoft hat ausführlich über eine kürzlich entdeckte Angriffskampagne über eine SQL-Server-Instanz berichtet. Die Angreifer waren bisher allerdings nicht erfolgreich, so das Unternehmen.
„Die Angreifer nutzten zunächst eine SQL-Injection-Schwachstelle in einer Anwendung in der Umgebung des Ziels aus“, so die Sicherheitsforscher von Microsoft in einem aktuellen Bericht. „Dies ermöglichte es dem Angreifer, Zugriff auf eine Microsoft SQL Server-Instanz zu erlangen, die in einer Azure Virtual Machine (VM) bereitgestellt wurde. Er erhielt somit erweiterte Berechtigungen.“ In der nächsten Phase nutzten die Bedrohungsakteure die neuen Berechtigungen, um zu versuchen, lateral auf zusätzliche Cloud-Ressourcen zuzugreifen. Dazu missbrauchten sie die Cloud-Identität des Servers, die unter Umständen noch mehr Berechtigungen hat. Der Plan war wohl, diese Rechte zu nutzen, um verschiedene bösartige Aktionen in der Cloud durchzuführen, auf welche die Identität Zugriff hat.
Microsoft hat nach eigenen Angaben keine Hinweise darauf gefunden, dass die Angreifer mit dieser Technik erfolgreich auf die Cloud-Ressourcen zugegriffen haben. „Cloud-Dienste wie Azure verwenden verwaltete Identitäten für die Zuweisung von Identitäten zu den verschiedenen Cloud-Ressourcen“, so die Forscher. „Diese Identitäten werden für die Authentifizierung bei anderen Cloud-Ressourcen und -Diensten verwendet.“
Der Ausgangspunkt der Angriffskette ist eine SQL-Injektion gegen den Datenbankserver, die es dem Angreifer ermöglicht, Abfragen durchzuführen, um Informationen über den Host, die Datenbanken und die Netzwerkkonfiguration zu sammeln. Bei den beobachteten Angriffen wird vermutet, dass die Anwendung, auf welche die SQL-Injection-Schwachstelle abzielte, über erhöhte Berechtigungen verfügte. Die Angreifer hofften so, die xp_cmdshell-Option zu aktivieren, um Betriebssystembefehle zu starten und zur nächsten Phase übergehen zu können. Dazu gehörte, Erkundungen durchzuführen, ausführbare Dateien und PowerShell-Skripte herunterzuladen, sowie über eine geplante Aufgabe zum Starten eines Backdoor-Skripts Persistenz aufzubauen.
Die Datenexfiltration erfolgt über ein öffentlich zugängliches Tool namens webhook[.]site, um unbemerkt zu bleiben. Der ausgehende Datenverkehr zu diesem Dienst gilt als legitim und wird mit hoher Wahrscheinlichkeit nicht bemerkt. „Die Angreifer versuchten, die Cloud-Identität der SQL Server-Instanz zu nutzen, indem sie auf den [instance metadata service] zugriffen und den Zugriffsschlüssel für die Cloud-Identität erlangten“, so die Forscher. „Die Anfrage an den Endpunkt der IMDS-Identität gibt die Anmeldeinformationen (Identitäts-Token) für die Cloud-Identität zurück.
Das ultimative Ziel des Vorgangs scheint darin zu bestehen, das Token zu missbrauchen, um verschiedene Operationen auf Cloud-Ressourcen durchzuführen, einschließlich lateraler Bewegungen in der Cloud-Umgebung. Am Ende schlug der Vorgang aufgrund eines nicht näher spezifizierten Fehlers fehl.
Die Entwicklung unterstreicht die zunehmende Raffinesse cloudbasierter Angriffstechniken, bei denen bösartige Akteure ständig auf der Suche nach überprivilegierten Prozessen, Konten, verwalteten Identitäten und Datenbankverbindungen sind, um weitere bösartige Aktivitäten durchzuführen. „Dies ist eine Technik, die wir von anderen Cloud-Diensten wie VMs und Kubernetes-Clustern kennen, die wir aber bei SQL Server-Instanzen noch nicht gesehen haben“, so die Forscher. „Wenn Cloud-Identitäten nicht ordnungsgemäß gesichert werden, können SQL Server-Instanzen und Cloud-Ressourcen ähnlichen Risiken ausgesetzt sein. Diese Methode bietet den Angreifern die Möglichkeit, nicht nur auf die SQL Server-Instanzen, sondern auch auf die zugehörigen Cloud-Ressourcen größeren Einfluss zu nehmen.“