کمیته رکن چهارم – شرکت مایکروسافت هشداری در خصوص حملات بروت فورس با هدف بهرهبرداری از رمزهای عبور ضعیف مورد استفاده در سرورهای پایگاه داده SQL مایکروسافت که در معرض اینترنت هستند، صادر کرده است.
بررسیهای انجام شده توسط این شرکت در مورد آسیبپذیری مذکور، استفاده نادرست از ابزار کمکی به نام SQLPS.exe را نشان میدهد. SQLPS.exe ابزاری است که از حملات بروت فورس به عنوان تکنیک اختلال اولیه استفاده میکند. در حال حاضر هیچ کس نمیداند که هدف نهایی کمپین این حمله چیست و عوامل آن چه کسانی هستند.
به گفته تیم اطلاعات امنیتی مایکروسافت، مهاجمان همچنین از sqlps.exe برای ایجاد یک حساب کاربری جدید استفاده میکنند که با اضافه کردن آن به نقش sysadmin، میتوانند کنترل کامل سرور SQL را به دست بگیرند. پس از آن توانایی انجام سایر اقدامات خرابکارانه از جمله استقرار پیلودهایی مانند استخراجکنندگان ارز دیجیتال را بهدست میآورند. در این حمله، ایجاد یک LOLBin با استفاده از sqlps امکان پذیر است، ابزاری که با سرور SQL مایکروسافت ارائه میشود و قابلیت بارگیری cmdletsهای سرور SQL را فراهم میکند. در مورد LOBin، مهاجم از دستورات پاورشل استفاده میکند بدون اینکه نگران باشد اقدامات مخرب او شناسایی شود.
در مارس سال جاری، مایکروسافت حملات مشابهی را علیه سرورهای MSSQL هنگام نصب Gh۰stCringe RATs گزارش کرد.
سرورهای پایگاه داده SQL مایکروسافت تحت تاثیر این حمله قرار دارند.
به مدیران MSSQL توصیه میشود که برای محافظت از سرورهای خود در برابر چنین حملاتی، سرورهای خود را در معرض اینترنت قرار ندهند.
توصیه میشود:
- همواره از رمز عبور قوی و پیچیده استفاده کنید.
- اطمینان حاصل کنید که ثبت رویداد را فعال کردهاید
- همیشه از یک برنامه آنتیویروس قوی استفاده کنید.
- همواره آخرین بروزرسانیهای امنیتی را برای کاهش خطر حمله اعمال کنید.
- احراز هویت چند عامله را فعال کنید.
منبع : مرکز ماهر
