Posté le mai 19, 2022 à 9:13
DES HACKERS UTILISENT UN UTILITAIRE INTÉGRÉ POUR CIBLER LES SERVEURS MICROSOFT SQL VULNÉRABLES
Le géant technologique Microsoft a mis en garde contre une attaque par force brute qui cible les serveurs de bases de données Microsoft SQL Server (MSSQL) mal sécurisés et exposés à l’Internet avec des mots de passe faibles.
Ce n’est pas la première fois que les serveurs Microsoft SQL sont visés cette année. Cependant, la société a déclaré que cette fois, les hackers de cette campagne profitent de l’outil légitime sqlps.exe comme binaire « living-off-the-land » (LOLBin).
Les attaquants créent l’utilitaire sqlps.exe pour maintenir la persistance
L’équipe de renseignement de sécurité de Microsoft a également révélé que les acteurs de la menace parviennent à persister en créant l’utilitaire sqlps.exe. Après avoir exécuté les commandes de reconnaissance, les hackers modifient le mode de démarrage du service SQL en LocalSystem afin de gagner du terrain sur le système.
En outre, ils utilisent sqlps.exe pour créer un nouveau compte qu’ils incluent dans le rôle sysadmin. Cela leur a permis de prendre le contrôle total du serveur SQL, obtenant ainsi un accès pour effectuer d’autres actions telles que l’implantation de charges utiles sur le système affecté.
L’utilisation de sqlps par les hackers leur permet d’exécuter des commandes PowerShell qui, autrement, enregistreraient les opérations des cmdlets dans le journal des événements de Windows. L’utilitaire sqlps possède également un serveur Microsoft SQL qui permet de charger facilement les cmdlets du serveur SQL en tant que LoLBin.
En outre, il permet aux acteurs de la menace de maintenir leur couverture en s’assurant qu’ils ne laissent pas de traces derrière eux pendant que les chercheurs en sécurité analysent leurs attaques. Selon Microsoft, les attaquants utilisent sqlps parce qu’il s’agit de l’un des moyens les plus efficaces de contourner le Script Block Logging, un outil PowerShell qui consigne habituellement les opérations des cmdlets dans le journal des événements de Windows.
Une attaque similaire contre les serveurs MSSQL a été signalée en début d’année lorsque des hackers ont déployé le cheval de Troie d’accès à distance (RAT) CirenegRAT. Lors de la campagne précédente, en février de cette année, les hackers ont compromis les serveurs MSSQL en déposant des balises Strike à l’aide des commandes Microsoft SQL xp_cmdshell.
L’attaque contre MSSQL a été décrite comme très puissante
MSSQL a été de plus en plus ciblé ces derniers temps, bien que les serveurs aient toujours été une cible majeure pour les hackers depuis plusieurs années. Dans les campagnes récentes, les acteurs de la menace essaient de voler des milliers de serveurs vulnérables pour atteindre différents objectifs finaux.
Dans l’une des principales attaques qui a duré près de deux ans, les hackers ont obtenu un accès par une porte dérobée à près de 3 000 serveurs équipés de RAT, suite à des attaques par force brute. Les hackers ont également déployé des cryptomonnaies Voller (VDS) et Monero (*XRM) sur les serveurs compromis.
Ce type d’attaque a été classé comme très puissant et tend à être sans fichier. Cela s’explique par le fait qu’elles utilisent des logiciels fiables, ce qui les rend très difficiles à repérer par les logiciels antivirus. En outre, les acteurs de la menace sont très prudents et ne laissent généralement pas d’artefacts derrière eux qui pourraient permettre de remonter jusqu’à eux. Dans la plupart des cas, l’attaquant tente de se fondre dans les tâches administratives habituelles et l’activité normale du réseau, tout en restant caché pendant une longue période. Microsoft a noté que l’utilisation de LOLBin montre l’importance d’obtenir une visibilité totale du comportement d’exécution des scripts pour exposer les codes malveillants.
Les serveurs Microsoft SQL continuent d’être exposés
Comme indiqué précédemment, les serveurs MSSQL ont été attaqués plus d’une fois cette année. En février, des chercheurs en sécurité ont averti que les serveurs MSSQL vulnérables étaient la cible de hackers dans le cadre de la campagne de déploiement de l’outil Cobalt Strike sur les hôtes affectés.
« Les attaques qui ciblent les serveurs MS SQL comprennent des attaques sur l’environnement où sa vulnérabilité n’a pas été corrigée, avait alors averti la société Sud-Coréenne de cybersécurité ASEC.
Le cadre de test de pénétration Cobalt Strike permet aux acteurs de la menace de déployer un agent sur le système ciblé, ce qui leur donne un accès à distance au système affecté. Une version déjà craquée du logiciel a été vue utilisée activement par plusieurs acteurs de la menace dans la nature. Selon l’ASEC, les intrusions ont consisté à scanner le port 1433 pour vérifier le serveur MSSQL exposé afin de mener des attaques par force brute. Dans la plupart des cas, les hackers trouvent plus facile de compromettre des serveurs sur Internet. Même ceux qui ne sont pas accessibles par Internet sont également vulnérables, mais ils sont moins susceptibles d’être exposés.
Des conseils aux administrateurs pour protéger leurs serveurs
Microsoft a également fourni un conseil pour aider les administrateurs à se défendre contre les attaques. Il leur a été demandé de ne pas exposer les serveurs à Internet pour éviter que ces derniers ne deviennent la cible d’attaques. Ils doivent également placer le serveur derrière un pare-feu et utiliser un mot de passe d’administrateur fort qui ne peut être forcé ou deviné.
Microsoft a également conseillé aux administrateurs d’appliquer les dernières mises à jour de sécurité afin de minimiser les risques d’attaque et de prévenir les attaques qui tirent parti de vulnérabilités connues. Les administrateurs devraient également activer la fonction de connexion pour surveiller toute activité inattendue ou suspecte ou toute tentative récurrente.
