Ostrom alatt áll az SQL Server

​A Microsoft olyan támadások elszaporodására hívta fel a figyelmet, amelyek kifejezetten a gyengén védett SQL Server kiszolgálókat veszélyeztetik.
 

Az adatbázisokat kiszolgáló számítógépek mindig is kiemelt célpontjai voltak a kiberbűnözőknek, akiket számos tényező motivál az ilyen rendszerek ostromlása során. Így például az adatlopás és a szolgáltatásmegtagadás is szerepel a céljaik között. Az előbbi révén teljes adatbázisokhoz szerezhetnek hozzáférést, illetve azokat akár manipulálhatják is. Az utóbbi esetben pedig komoly fennakadásokat okozhatnak az üzleti folyamatokban, illetve a termelésben.
 
A Microsoft biztonsági csapata folyamatosan monitorozza és elemzi egyebek mellett az adatbázis-kiszolgálókat sújtó támadásokat is. Az utóbbi időszakban pedig annyi ilyen jellegű támadásról szerzett tudomást, hogy végül egy figyelemfelhívó közleményt adott ki a növekvő kockázatok miatt.
 
A vállalat szerint az utóbbi hetekben elsősorban olyan támadások kerültek előtérbe, amelyek a teljesen legális (SQL Serverhez tartozó) sqlps.exe eszköz adta lehetőségekkel élnek vissza. Az alvilági akciók olyan kiszolgálók ellen irányulnak, amelyek az internet felől elérhetők, és gyenge jelszavak védik azokat. Alapesetben most nincs szó különféle szoftveres sérülékenységek kihasználásáról, mivel az elkövetők hagyományosnak mondható, brute force módszerekkel igyekeznek kipuhatolni a hitelesítő adatokat.
 
A szakértők által elemzett támadások során a célkeresztbe állított és a támadók által meghackelt kiszolgálókon az elkövetők létrehoztak maguknak egy rendszergazdai jogosultságokkal rendelkező (sysadmin szerepkörrel rendelkező) fiókot, amelyen keresztül további nemkívánatos műveleteket hajtottak végre. Volt eset, amikor trójai vagy kriptobányászatra alkalmas programot telepítettek, de több esetben követtek el visszaéléseket különféle PowerShell scriptek felhasználásával. Ezek esetében arról is gondoskodtak, hogy minél kevesebb nyomot hagyjanak maguk után (az sqlps révén megkerülték a Script Block Logging naplózást is).
 
Az SQL Server kiszolgálók esetében érdemes az alábbi tanácsokat megfogadni:
 

• Lehetőségek szerint az adatbázis-kiszolgáló ne legyen közvetlenül elérhető az internet felől!
• Az SQL Servert mindig tűzfal mögött használja!
• Válasszon erős hitelesítést és jelszavakat az SQL Server esetében is.
• Rendszeresen telepítse a megjelenő frissítéseket!
• Állítson be naplózást a hitelesítési folyamatokhoz, és a naplókat folyamatosan elemezze!