{"id":265466,"date":"2022-05-19T08:14:11","date_gmt":"2022-05-19T06:14:11","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=265466"},"modified":"2022-05-19T09:38:50","modified_gmt":"2022-05-19T07:38:50","slug":"microsoft-beobachtet-angriffe-auf-microsoft-sql-server-per-powershell","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/05\/19\/microsoft-beobachtet-angriffe-auf-microsoft-sql-server-per-powershell\/","title":{"rendered":"Microsoft beobachtet Angriffe auf Microsoft SQL-Server per PowerShell"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Das Sicherheitsteam warnt aktuell vor einer Kampagne, bei der unbekannte Angreifer es auf Microsoft SQL-Datenbanken abgesehen haben. Es kommt zwar ein Brute Force-Ansatz zum Knacken des Datenbankzugangs zum Einsatz. Neu ist, dass in der Kampagne das Tool sqlps.exe <\/em>in Verbindung mit PowerShell-Scripten eingesetzt wird.<\/p>\n

<\/p>\n

Beschreibung der Kampagne<\/h2>\n

\"\"Die Informationen finden sich in einer Reihe Tweets<\/a>, die von Microsoft Security Intelligence die Tage ver\u00f6ffentlicht wurden. Den Tweets zufolge wurde k\u00fcrzlich eine Kampagne durch das Microsoft Sicherheitsteam beobachtet, die konkret auf Microsoft SQL-Server zielt (die geben zwar nur SQL-Server an, meinen aber das eigene Produkt.<\/p>\n

\"Campaign<\/a><\/p>\n

\u00dcber einen Brute-Force-Ansatz wird versucht, den durch Passw\u00f6rter gesch\u00fctzten Zugang zur SQL-Datenbank zu knacken. Das ist nichts neues, der Ansatz wird seit Jahren versucht. Eine Neuerung, so Microsoft, ist aber die Verwendung des beim SQL-Server mitgelieferten Tools sqlps.exe<\/em> in Verbindung mit PowerShell-Scripten. Das ist ein Hilfsprogramm, welches eine Windows PowerShell-Session startet, in der der SQL Server PowerShell-Anbieter und Cmdlets geladen und registriert sind. Nutzer k\u00f6nnen PowerShell-Befehle oder -Skripte eingeben, die die SQL Server PowerShell-Komponenten verwenden, um mit Instanzen von SQL Server und ihren Objekten zu arbeiten.<\/p>\n

Microsoft schreibt hier<\/a>, dass diese Funktion in einer zuk\u00fcnftigen Version von Microsoft SQL Server entfernt wird. Die Verwendung dieser Funktion ist bei Neuentwicklungen zu vermeiden.<\/p><\/blockquote>\n

Der Grund f\u00fcr die Verwendung dieses Hilfsprogramms wird von Microsoft auch genannt. Die Angreifer erreichen so eine sogenannte \"fileless\u00a0 persistence\", indem sie das Dienstprogramm sqlps.exe<\/em>, ein PowerShell-Wrapper zur Ausf\u00fchrung von SQL-Cmdlets, starten. Dann setzen Sie Befehle zum Ausforschen der Datenbank ab und versuchen, den Startmodus des SQL-Dienstes in LocalSystem zu \u00e4ndern. Die Angreifer verwenden sqlps.exe<\/em> auch, um ein neues Sysadmin-Konto zu erstellen, wodurch sie die volle Kontrolle \u00fcber den SQL-Server \u00fcbernehmen k\u00f6nnen. So k\u00f6nnen sie weitere Aktionen wie die Bereitstellung von Nutzdaten f\u00fcr Krypto-Miner, durchf\u00fchren.<\/p>\n

PowerShell-Scripte\u00a0\u00fcberwachen!<\/h2>\n

In diesem Kontext w\u00e4re es wichtig, die Ausf\u00fchrung von PowerShell-Scripten zu \u00fcberwachen, um solche Versuche mitzubekommen. Microsoft schreibt, dass der Defender normalerweise die Verwendung von PowerShell in der jeweiligen Umgebung \u00fcberwacht. Das Dienstprogramm sqlps.exe<\/em>, das standardm\u00e4\u00dfig mit allen SQL-Versionen mitgeliefert wird, verf\u00fcgt \u00fcber \u00e4hnliche Funktionen zum Aufrufen einer PowerShell-Sitzung. Durch den Einsatz der oben skizzierten Technik bleiben aber keine Spuren des Angriffs zur\u00fcck, da ein Script Block Logging<\/a>, was in der Windows Ereignisanzeige protokolliert wird, umgangen wird.<\/p>\n

Die Verwendung dieser ungew\u00f6hnlichen \"Living-off-the-Land\"-Bin\u00e4rdatei (LOLBin) zeigt laut Microsoft, die Notwendigkeit, das Laufzeitverhalten von Scripten vollst\u00e4ndig (also auch abseits der Windows PowerShell) zu \u00fcberwachen und zu durchschauen, um b\u00f6sartigen Code zu entdecken. Daher sollte auch die Script-Ausf\u00fchrung per sqlps.exe <\/em>ebenfalls diesbez\u00fcglich \u00fcberwacht werden.<\/p>\n

\u00dcber das Antimalware Scan Interface (AMSI), eine offene Schnittstelle, die es Anwendungen erm\u00f6glicht, zur Laufzeit einen synchronen Scan eines Speicherpuffers durch ein Antimalware-Produkt anzufordern, kann dieses Laufzeitverhalten von Scripten analysiert werden. Microsoft Defender Antivirus ist mit AMSI integriert und erkennt diese Bedrohung als Trojan:PowerShell\/SuspSQLUsage.A<\/em>.<\/p>\n

SQL-Server absichern<\/h2>\n

Die Kollegen von Bleeping Computer geben in diesem Artikel<\/a> noch einige Hinweise, was Administratoren zur Absicherung eines SQL-Servers noch tun k\u00f6nnen.<\/p>\n

\"SQL<\/a><\/p>\n

Neben dem Ratschlag, den SQL-Server nicht \u00fcber das Internet erreichbar zu machen, geh\u00f6rt auch ein starkes Administrator-Passwort f\u00fcr den Zugang zu verwenden, welches nicht so leicht per Brute-Force geknackt werden kann. Man sollte den SQL-Server zudem hinter einer Firewall platzieren, und die Protokollierung aktivieren, um verd\u00e4chtige oder unerwartete Aktivit\u00e4ten oder wiederholte Anmeldeversuche zu \u00fcberwachen. Dass der SQL-Server auf dem aktuellen Patch-Stand zu halten ist, sollte ebenfalls klar sein.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nGh0stCringe-Malware zielt auf ungesicherte Microsoft SQL- und MySQL-Server<\/a>
\nWindows 11: MSSQL-Server-Instanz wegen Sektorengr\u00f6\u00dfe nicht mehr lauff\u00e4hig<\/a>
\nFestes SA SQL-Passwort bei windata 9-Banking-Software<\/a>
\nHacker infizieren Tausende MS SQL-Server mit Backdoor<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Das Sicherheitsteam warnt aktuell vor einer Kampagne, bei der unbekannte Angreifer es auf Microsoft SQL-Datenbanken abgesehen haben. Es kommt zwar ein Brute Force-Ansatz zum Knacken des Datenbankzugangs zum Einsatz. Neu ist, dass in der Kampagne das Tool sqlps.exe in Verbindung … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836,8245],"class_list":["post-265466","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software","tag-sql"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265466","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=265466"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265466\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=265466"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=265466"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=265466"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}