هشدار مایکروسافت درخصوص بدافزار سرورهای SQL از طریق حمله بروت فورس

شرکت مایکروسافت هشداری در خصوص حملات بروت فورس با هدف بهره‌برداری از رمزهای عبور ضعیف مورد استفاده در سرورهای پایگاه داده SQL مایکروسافت  که در معرض اینترنت هستند، صادر کرده است.

بررسی‌های انجام شده توسط این شرکت در مورد آسیب‌پذیری مذکور، استفاده نادرست از ابزار کمکی به نام SQLPS.exe را نشان می‌دهد. SQLPS.exe ابزاری است که از حملات بروت فورس به عنوان تکنیک اختلال اولیه استفاده می‌کند. در حال حاضر هیچ کس نمیداند که هدف نهایی کمپین این حمله چیست و عوامل آن چه کسانی هستند.
به گفته تیم اطلاعات امنیتی مایکروسافت: مهاجمان همچنین از sqlps.exe برای ایجاد یک حساب کاربری جدید استفاده می‌کنند که با اضافه کردن آن به نقش sysadmin، می‌توانند کنترل کامل سرور SQL را به دست بگیرند. پس از آن توانایی انجام سایر اقدامات خرابکارانه از جمله استقرار پی‌لودهایی  مانند استخراج‌کنندگان ارز دیجیتال را بدست می‌آورند. در این حمله، ایجاد یک LOLBin با استفاده از sqlps امکان پذیر است، ابزاری که با سرور SQL مایکروسافت ارائه می‌شود و قابلیت بارگیری cmdletsهای  سرور SQL را فراهم می‌کند. در مورد LOBin، مهاجم از دستورات پاورشل استفاده می‌کند بدون اینکه نگران باشد اقدامات مخرب او شناسایی شود.
در مارس سال جاری، مایکروسافت حملات مشابهی را علیه سرورهای MSSQL هنگام نصب Gh0stCringe RATs گزارش کرد.

محصولات تحت تأثیر

سرورهای پایگاه داده SQL مایکروسافت تحت تاثیر این حمله قرار دارند.

توصیه‌های امنیتی

به مدیران MSSQL توصیه می‌شود که برای محافظت از سرورهای خود در برابر چنین حملاتی، سرورهای خود را در معرض اینترنت قرار ندهند. در ادامه چند توصیه امنیتی پیشنهاد می‌گردد:

  • همواره از رمز عبور قوی و پیچیده استفاده کنید.
  • اطمینان حاصل کنید که ثبت رویداد  را فعال کرده‌اید.
  • همیشه از یک برنامه آنتی‌ویروس قوی استفاده کنید.
  • همواره آخرین بروزرسانی‌های امنیتی را برای کاهش خطر حمله اعمال کنید.
  • احراز هویت چند عامله را فعال کنید.

منبع خبر: https://gbhackers.com/sql-servers-using-brute-force