Alerta 2023-03 – Técnicas de movimiento lateral a máquinas virtuales en Azure a través de Microsoft SQL Servers
Recientemente investigadores de Microsoft han empezado a identificar ataques en los que el atacante logra comprometer entornos de nube de Azure, mediante técnicas de pivoting desde servidores Microsoft SQL conectados a aplicaciones web vulnerables a inyección de SQL, previamente comprometidas.
Los ataques observados empiezan con la explotación de una vulnerabilidad de inyección SQL en una aplicación web en el entorno del objetivo. Esto permite a los actores de amenazas obtener acceso a la instancia del MS SQL Server alojada en la máquina virtual de Azure con permisos elevados para ejecutar comandos SQL y extraer datos valiosos. Si la aplicación comprometida tiene permisos elevados, los atacantes pueden activar el comando ‘xp_cmdshell’ para ejecutar comandos del sistema operativo (SO) a través de SQL, dándoles un shell directo al host (la máquina virtual con el SQL instalado).