Erstaunen über Hacker-Taktik gegen Azure Cloud
Microsoft-Sicherheitsforscher beobachteten den Versuch von Cyberkriminellen, von einer SQL Server-Instanz aus in verschiedene Cloud-Umgebungen bei Azure vorzudringen. Das wird möglich, weil Unternehmen bei ihrer Cloud-Migration Schnelligkeit vor Sicherheit stellen. Das ist fatal.
Während Angreifer diesen Ansatz bereits bei virtuellen Maschinen (VMs), Kubernetes-Clustern und verschiedenen Clouddiensten verfolgt hatten, war die Nutzung von SQL-Server auch für Microsofts Security-Spezialisten neu. Wie der Anbieter letzte Woche mitteilte, konnten sich die Hacker während des Angriffs über die SQL-Server-Umgebung in einer Server-Instanz bewegen, die in einer Azure-VM bereitgestellt worden war. Von dort aus versuchen die Angreifer dann auf "zusätzliche" Cloud-Ressourcen zu kommen. Das sei jedoch nicht gelungen.
Hacker, die Cloud-spezifische Techniken entwickeln, suchen und finden immer "neue Vektoren, um von bestimmten lokalen Umgebungen in Cloud-Ressourcen einzudringen", schrieben die Microsoft-Forscher. In diesem Fall hatten sich die Angreifer offenbar zunächst über eine SQL Injection-Schwachstelle Zugang verschafft und konnten dann ihre Berechtigungen für die SQL Server-Instanz in Azure erhöhen.
Wiederentdeckung des Alten
"Zweifellos ist das Identitäts- und Zugriffsmanagement für viele Unternehmen problematisch. Und in der Cloud wird es noch komplexer", berichtet David Menichello, Director of Security Product Management bei Netrix, die Nr. 196 im Solution Provider 500-Ranking der CRN USA.
"Was die Kunden vor einige Herausforderungen stellt, ist die Beschleunigung bei der Nutzung von Cloud-basierten Ressourcen. Da einige Gruppen innerhalb von Unternehmen immer auf der Suche nach Möglichkeiten zur Kostensenkung sind, oder sie der schnelleren Markteinführung von Produkten eine höhere Priorität einräumen als der Sicherheit, kann das Identitäts- und Zugriffsmanagement damit oft einfach nicht Schritt halten", so Menichello.
Was den von Microsoft aufgedeckten Angriffsweg betrifft, so sei die Ausnutzung einer SQL-Injection-Schwachstelle - was heute viel seltener vorkomme als früher - ein weiteres Beispiel dafür, dass im Bereich der Cybersicherheit "das Alte wieder neu ist", meint Menichello.
"Auch wenn SQL-Injection nicht mehr so populär ist wie früher, zeigen Vorfälle wie dieser, dass man sich weiterhin sorgfältig gegen diese Art von Angriffen schützen muss."
Injection - zu der neben SQL-Injection auch Angriffsverfahren wie das Cross-Site-Scripting gehören - war laut Analysen des Open Worldwide Application Security Project (OWASP) von Platz 1 der größten Sicherheitsrisiken für Webanwendungen (2017) im Jahr 2021 auf Platz 3 und dann noch weiter zurückgefallen.
Bei dem jetzt bekannt gewordenen Angriff konnten die Hacker, nachdem sie die SQL-Injection-Schwachstelle in der Umgebung des Opfers ausgenutzt hatten, auf die SQL-Server-Instanz in einer Azure-VM zugreifen und ihre Berechtigungen erhöhen. "Die Angreifer nutzten die erschlichenen, erweiterten Rechte für den Versuch, sich durch Missbrauch der Cloud-Identität des Servers auf weitere Cloud-Ressourcen zuzugreifen", schreiben die Microsoft-Forscher. Letztlich zeige diese Angriffstechnik "einen Ansatz, den wir bei anderen Cloud-Diensten wie VMs und Kubernetes-Clustern gesehen haben, aber bisher noch nie bei SQL-Server."
Erfolg hatten die Angreifer nicht, nachdem ihre Aktivitäten "mehrere Microsoft Defender for SQL-Warnungen" auslösten und Microsoft dazu veranlassten, zügig weitere Schutzmaßnahmen zu implementieren", heißt es in dem Beitrag. "Unsere Analyse dieses Angriffs ergab zwar keine Hinweise darauf, dass die Angreifer erfolgreich von der Seite in die Cloud-Ressourcen eingedrungen sind. Aber jetzt wissen wir, dass es wichtig ist, sich dieser Taktik und der in SQL-Server-Instanzen verwendeten Technik bewusst zu sein und zu wissen, welche Schritte man ergreifen muss, um potenzielle Angriffe zu entschärfen."