Microsoft, MS SQL Sunuculara Dünya Genelinde Başlayan Saldırılar Konusunda Uyardı

Mehmet Sait YILMAZ 18/05/2022

0 1 dakika okuma süresi

Microsoft, zayıf parolalar kullanan, internet’e açık ve güvenliği zayıf Microsoft SQL Server (MSSQL) veritabanı sunucularını hedefleyen brute-force saldırılarına karşı uyardı. Microsoft Güvenlik İstihbaratı ekibi, “Saldırganlar, SQL tarafından oluşturulmuş cmdlet’leri çalıştırmak, keşif komutlarını çalıştırmak ve SQL hizmetinin başlangıç modunu LocalSystem olarak değiştirmek için bir PowerShell wrapper’ı olan sqlps.exe yardımcı programını kullanarak kalıcılık elde ediyor. Saldırganlar ayrıca sysadmin rolüne ekledikleri yeni bir hesap oluşturmak için sqlps.exe’yi kullanarak SQL sunucusunun tam kontrolünü ele geçirmelerini sağlıyor. Ardından, coin madencileri gibi payload’ları dağıtmak da dahil olmak üzere diğer eylemleri gerçekleştirme yeteneği kazanıyor” dedi.

Defenders typically monitor the use of PowerShell in their environment. The sqlps.exe utility, which comes with all versions of SQL by default, has similar functionality and is equally worthy of increased scrutiny.
— Microsoft Security Intelligence (@MsftSecIntel) May 17, 2022

MSSQL sunucularına yönelik benzer saldırılar, Mart ayında Gh0stCringe (aka CirenegRAT) uzaktan erişim truva atlarını (RAT’ler) dağıtmayı hedefleyen raporda da görüldü. IT yöneticilerine, MSSQL sunucularını bu tür saldırılara karşı savunmak için internet’e açık bırakmamaları, tahmin edilemeyecek veya brute-force saldırılarına karşı güçlü daha güçlü parolalar kullanmaları ve sunucuyu bir güvenlik duvarının arkasına yerleştirmeleri öneriliyor.

Kaynak: bleepingcomputer.com

Mehmet Sait YILMAZ 18/05/2022

0 1 dakika okuma süresi