07/10/2023

 https://dg.samrl.org/l?a5001

مايكروسوفت: تحاول الجهات الفاعلة في مجال التهديد استخدام SQL Server لتغطية الحركة الجانبية

الحقوق الرقمية |

حدد باحثو الأمان في Microsoft مؤخرًا حملة حاول فيها المهاجمون الانتقال من خادم قاعدة بيانات SQL Server نحو بيئة السحابة باستخدام أساليب جديدة.

استغل المهاجمون في البداية ثغرة أمنية في حقن SQL في أحد التطبيقات داخل بيئة الهدف. سمح هذا للمهاجم بالوصول والأذونات المرتفعة على مثيل Microsoft SQL Server الذي تم نشره في Azure Virtual Machine (VM). استخدم المهاجمون بعد ذلك الإذن المرتفع الذي تم الحصول عليه لمحاولة الانتقال أفقيًا إلى موارد سحابية إضافية عن طريق إساءة استخدام الهوية السحابية للخادم. تُستخدم الهويات السحابية بشكل شائع في الخدمات السحابية بما في ذلك SQL Server وقد تمتلك أذونات مرتفعة لتنفيذ الإجراءات في السحابة.

ويُقصد بـ "التحرك الجانبي" (lateral movement) هنا عملية اختراق أو تحرك داخل البنية التحتية للشبكة بعد اختراق جهاز أو نظام معين. وفي هذه الحالة، يتم استهداف خادم قاعدة بيانات SQL Server ومن ثم يحاول المهاجمون التحرك من خلال الشبكة باتجاه السحابة. وهذا يعني أنهم يسعون للوصول إلى بيئة السحابة واستغلال الثغرات الموجودة هناك للحصول على مزيد من الوصول أو السيطرة على البيانات والأنظمة الأخرى في السحابة.

ويشير المصطلح "الناقلات الجديدة" (new vectors) إلى أساليب أو طرق جديدة يستخدمها المهاجمون للتسلل أو التحرك داخل الشبكة. قد يكون ذلك عن طريق استغلال ثغرات في البرامج أو استخدام تقنيات متقدمة لتجاوز إجراءات الأمان. في هذه الحالة، يتم استهداف خادم قاعدة بيانات SQL Server كنقطة انطلاق للتحرك نحو السحابة بواسطة هذه النواقل الجديدة.

مع تزايد اعتماد التكنولوجيا السحابية، يستخدم المهاجمون والجهات الفاعلة في مجال التهديد تقنيات الهجوم المعروفة في بيئات جديدة وأصبحوا أكثر تعقيدًا. يؤكد هذا المشهد المتطور لتقنيات الهجوم المستندة إلى السحابة، مع كون الحركة الجانبية واحدة منها، على حاجة المؤسسات إلى ضمان دفاعات قوية وحماية الأصول الحيوية في السحابة.

يسلط هذا الهجوم الضوء أيضًا على أهمية الممارسات ذات الامتيازات الأقل عند تصميم ونشر الحلول المستندة إلى السحابة. غالبًا ما يتمكن المهاجمون من القيام بمزيد من الأنشطة الضارة من خلال إساءة استخدام العمليات والحسابات والهويات المُدارة واتصالات قواعد البيانات ذات الامتيازات الزائدة. في هذه الحالة، يُنصح المؤسسات بالتأكد من تحديث جميع التطبيقات وتأمينها ومنحها الأذونات والامتيازات الضرورية فقط، لتجنب تعريض مثيلات SQL Server المتصلة، بالإضافة إلى الموارد السحابية الأخرى، للخطر.

يمكن لحل تقييم الثغرات الأمنية في Defender for SQL أيضًا اكتشاف الثغرات الأمنية والتكوينات الخاطئة في قاعدة البيانات. يؤدي تخفيف الثغرات الأمنية والاستجابة لها إلى تقليل سطح الهجوم على SQL Server ويمكن أن يمنع الهجمات المحتملة. تتضمن إحدى قواعد تقييم ثغرات SQL تمكين xp_cmdshell ، مما يوفر وسيلة لتحديد مثيلات قاعدة البيانات التي تم تمكين هذا الإعداد فيها.

ومن خلال هذه التغطية للجوانب الواسعة للحركة الجانبية في السحابة، والعلاقات المتبادلة بينها، يمكن للمؤسسات تعزيز دفاعاتها وحماية أصولها الحيوية من مخاطر الحركة الجانبية. يوصَى أيضًا باتباع أفضل ممارسات الأمان للهويات المُدارة لمنع الحركة الجانبية في السحابة. ومن خلال تنفيذ هذه التدابير الأمنية والالتزام بمبدأ الامتياز الأقل عند منح الأذونات للهويات المُدارة، يمكن للمؤسسات تقليل سطح الهجوم لتلك الهويات.