Microsoft, zayıf parolalar kullanan, internet’e açık ve güvenliği zayıf Microsoft SQL Server (MSSQL) veritabanı sunucularını hedefleyen brute-force saldırılarına karşı uyardı. Microsoft Güvenlik İstihbaratı ekibi, “Saldırganlar, SQL tarafından oluşturulmuş cmdlet’leri çalıştırmak, keşif komutlarını çalıştırmak ve SQL hizmetinin başlangıç modunu LocalSystem olarak değiştirmek için bir PowerShell wrapper’ı olan sqlps.exe yardımcı programını kullanarak kalıcılık elde ediyor. Saldırganlar ayrıca sysadmin rolüne ekledikleri yeni bir hesap oluşturmak için sqlps.exe’yi kullanarak SQL sunucusunun tam kontrolünü ele geçirmelerini sağlıyor. Ardından, coin madencileri gibi payload’ları dağıtmak da dahil olmak üzere diğer eylemleri gerçekleştirme yeteneği kazanıyor” dedi.
MSSQL sunucularına yönelik benzer saldırılar, Mart ayında Gh0stCringe (aka CirenegRAT) uzaktan erişim truva atlarını (RAT’ler) dağıtmayı hedefleyen raporda da görüldü. IT yöneticilerine, MSSQL sunucularını bu tür saldırılara karşı savunmak için internet’e açık bırakmamaları, tahmin edilemeyecek veya brute-force saldırılarına karşı güçlü daha güçlü parolalar kullanmaları ve sunucuyu bir güvenlik duvarının arkasına yerleştirmeleri öneriliyor.
Kaynak: bleepingcomputer.com