Microsoft beobachtet Angriffe auf Microsoft SQL-Server per PowerShell

Publiziert am 19. Mai 2022 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]Das Sicherheitsteam warnt aktuell vor einer Kampagne, bei der unbekannte Angreifer es auf Microsoft SQL-Datenbanken abgesehen haben. Es kommt zwar ein Brute Force-Ansatz zum Knacken des Datenbankzugangs zum Einsatz. Neu ist, dass in der Kampagne das Tool sqlps.exe in Verbindung mit PowerShell-Scripten eingesetzt wird.

Anzeige

Beschreibung der Kampagne

Die Informationen finden sich in einer Reihe Tweets, die von Microsoft Security Intelligence die Tage veröffentlicht wurden. Den Tweets zufolge wurde kürzlich eine Kampagne durch das Microsoft Sicherheitsteam beobachtet, die konkret auf Microsoft SQL-Server zielt (die geben zwar nur SQL-Server an, meinen aber das eigene Produkt.

Campaign targeting Microsoft SQL Server

Über einen Brute-Force-Ansatz wird versucht, den durch Passwörter geschützten Zugang zur SQL-Datenbank zu knacken. Das ist nichts neues, der Ansatz wird seit Jahren versucht. Eine Neuerung, so Microsoft, ist aber die Verwendung des beim SQL-Server mitgelieferten Tools sqlps.exe in Verbindung mit PowerShell-Scripten. Das ist ein Hilfsprogramm, welches eine Windows PowerShell-Session startet, in der der SQL Server PowerShell-Anbieter und Cmdlets geladen und registriert sind. Nutzer können PowerShell-Befehle oder -Skripte eingeben, die die SQL Server PowerShell-Komponenten verwenden, um mit Instanzen von SQL Server und ihren Objekten zu arbeiten.

Microsoft schreibt hier, dass diese Funktion in einer zukünftigen Version von Microsoft SQL Server entfernt wird. Die Verwendung dieser Funktion ist bei Neuentwicklungen zu vermeiden.

Der Grund für die Verwendung dieses Hilfsprogramms wird von Microsoft auch genannt. Die Angreifer erreichen so eine sogenannte "fileless  persistence", indem sie das Dienstprogramm sqlps.exe, ein PowerShell-Wrapper zur Ausführung von SQL-Cmdlets, starten. Dann setzen Sie Befehle zum Ausforschen der Datenbank ab und versuchen, den Startmodus des SQL-Dienstes in LocalSystem zu ändern. Die Angreifer verwenden sqlps.exe auch, um ein neues Sysadmin-Konto zu erstellen, wodurch sie die volle Kontrolle über den SQL-Server übernehmen können. So können sie weitere Aktionen wie die Bereitstellung von Nutzdaten für Krypto-Miner, durchführen.

Anzeige

PowerShell-Scripte überwachen!

In diesem Kontext wäre es wichtig, die Ausführung von PowerShell-Scripten zu überwachen, um solche Versuche mitzubekommen. Microsoft schreibt, dass der Defender normalerweise die Verwendung von PowerShell in der jeweiligen Umgebung überwacht. Das Dienstprogramm sqlps.exe, das standardmäßig mit allen SQL-Versionen mitgeliefert wird, verfügt über ähnliche Funktionen zum Aufrufen einer PowerShell-Sitzung. Durch den Einsatz der oben skizzierten Technik bleiben aber keine Spuren des Angriffs zurück, da ein Script Block Logging, was in der Windows Ereignisanzeige protokolliert wird, umgangen wird.

Die Verwendung dieser ungewöhnlichen "Living-off-the-Land"-Binärdatei (LOLBin) zeigt laut Microsoft, die Notwendigkeit, das Laufzeitverhalten von Scripten vollständig (also auch abseits der Windows PowerShell) zu überwachen und zu durchschauen, um bösartigen Code zu entdecken. Daher sollte auch die Script-Ausführung per sqlps.exe ebenfalls diesbezüglich überwacht werden.

Über das Antimalware Scan Interface (AMSI), eine offene Schnittstelle, die es Anwendungen ermöglicht, zur Laufzeit einen synchronen Scan eines Speicherpuffers durch ein Antimalware-Produkt anzufordern, kann dieses Laufzeitverhalten von Scripten analysiert werden. Microsoft Defender Antivirus ist mit AMSI integriert und erkennt diese Bedrohung als Trojan:PowerShell/SuspSQLUsage.A.

SQL-Server absichern

Die Kollegen von Bleeping Computer geben in diesem Artikel noch einige Hinweise, was Administratoren zur Absicherung eines SQL-Servers noch tun können.

SQL Server attacks

Neben dem Ratschlag, den SQL-Server nicht über das Internet erreichbar zu machen, gehört auch ein starkes Administrator-Passwort für den Zugang zu verwenden, welches nicht so leicht per Brute-Force geknackt werden kann. Man sollte den SQL-Server zudem hinter einer Firewall platzieren, und die Protokollierung aktivieren, um verdächtige oder unerwartete Aktivitäten oder wiederholte Anmeldeversuche zu überwachen. Dass der SQL-Server auf dem aktuellen Patch-Stand zu halten ist, sollte ebenfalls klar sein.

Ähnliche Artikel:
Gh0stCringe-Malware zielt auf ungesicherte Microsoft SQL- und MySQL-Server
Windows 11: MSSQL-Server-Instanz wegen Sektorengröße nicht mehr lauffähig
Festes SA SQL-Passwort bei windata 9-Banking-Software
Hacker infizieren Tausende MS SQL-Server mit Backdoor

Anzeige
Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Microsoft beobachtet Angriffe auf Microsoft SQL-Server per PowerShell

  1. Sebastian sagt:
    19. Mai 2022 um 22:56 Uhr

    Bei dem SQL Server ist es so das die wenigsten da überhaupt mit Name/Pass reingehen sondern das sie über das AD automatisch drin sind. Auch wenn Sie damit keine 'sa' Rechte haben, reicht das aus um Schaden anzurichten. Ich würde das trotzdem auf der Atk Skala bei 4 von 10 einordnen.

    MsSql DB's werden permanent gefickt(durch WordPress), SQL Server ist da tendenziell sicher sofern man nicht alles falsch macht.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.