Attacchi brute force stanno bersagliando i server Microsoft SQL Server (MSSQL) esposti a Internet e scarsamente protetti mediante password deboli. A lanciare l’allarme è il team Microsoft Security Intelligence tramite un tweet che lascia poco spazio all’immaginazione.

Gli attaccanti ottengono una persistenza fileless sfruttando l’utility sqlps.exe, un wrapper PowerShell che serve per caricare i cmdlet creati da SQL server e che è del tutto legittimo. Grazie a questo stratagemma i cyber criminali possono eseguire comandi PowerShell senza dare nell’occhio e senza attivare allarmi, bypassando anche lo Script Block Logging - la funzionalità di PowerShell che salva le operazioni dei cmdlet nel registro eventi di Windows.

Non solo, sempre stando alle informazioni ufficiali, gli stessi attaccanti avrebbero impiegato lo strumento legittimo sqlps.exe per creare un nuovo account con permessi di amministratore di sistema, così da potersi arrgoare il totale controllo del server SQL. Quest’ultimo dettaglio è importante perché apre all’esecuzione di altre attività dannose, tra cui la distribuzione di payload.

https://twitter.com/MsftSecIntel/status/1526680351858475008?s=20&t=A12Rbf5BKQIV3HA6a5GeEQ

I precedenti

Quello appena descritto non è il primo allarme di questo tipo. I database SQL sono sempre nel mirino dei criminali informatici, perché custodiscono informazioni sensibili quali password, credenziali e codici di accesso degli utenti della rete: una miniera d’oro per gli Initial Access Broker, e non solo.

A marzo sono stati segnalati attacchi simili contro i server MSSQL che avevano l’obiettivo di distribuire il trojan di acceso remoto Gh0stCringe. In febbraio la compromissione aveva come scopo il rilascio di beacon Cobalt Strike. Per circa due anni una serie di attacchi contro i server MSSQL ribattezzata Vollgar ha bersagliato migliaia di server installando backdoor o sfruttandoli per distribuire cryptominer.

Una difesa semplice

La popolarità degli attacchi contro i server MSSQL potrebbe far pensare che una protezione efficace sia impossibile da attuare. In realtà, dato che stiamo parlando di attacchi brute force, banalmente gran parte della difesa ruota attorno alla scelta delle password. In primis, l’adozione di password di amministratore complesse che non possano essere indovinate o forzate facilmente.

Il secondo consiglio degli esperti è di proteggere il server con un firewall, seguito dall’applicazione della regola di base della security: installare gli aggiornamenti per ridurre la superficie di attacco e bloccare gli attacchi che si basano sullo sfruttamento di vulnerabilità note. Ultimo ma non meno importante, monitorare l'eventuale presenza di attività sospette o impreviste, e i tentativi ricorrenti di accesso non andati a buon fine.