Microsoftは10月3日(米国時間)、「Defending new vectors: Threat actors attempt SQL Server to cloud lateral movement|Microsoft Security Blog」において、Microsoft SQL Serverを通じてクラウド環境への水平移動を試みるサイバー攻撃を特定したと伝えた。用いられた攻撃手法は、VMやKubernetesクラスタなどのほかのクラウドサービスで見られた手法であるが、SQL Serverでは見られなかった攻撃だとして注意を促している。
-
Defending new vectors: Threat actors attempt SQL Server to cloud lateral movement|Microsoft Security Blog
この攻撃では、初めに標的の環境内のアプリケーションにあるSQLインジェクションの脆弱性を悪用し、Azure仮想マシン(VM)にデプロイされたMicrosoft SQL Serverインスタンスへのアクセスと、昇格されたアクセス許可を取得したと見られている。次に、取得したアクセス許可を悪用してサーバのクラウドIDを悪用し、追加のクラウドリソースへの水平移動を試みたがエラーにより失敗したという。
-
キャンペーンで観察された攻撃の流れ 引用:Microsoft
Microsoftは、この攻撃フローによって複数のMicrosoft Defender for SQLアラートが開始されたため、クラウドの横方向の移動手法を特定して分析できたとしている。また、このアラートによりこれまでSQLインジェクションの脆弱性があるアプリケーションを認識できていなかったにもかかわらず、追加の保護を迅速に実施できたという。
この攻撃はクラウドベースおよびオンプレミスのソリューションを設計、導入する際に、「権限を最小にする」設定を実践することの重要性を示しているとされる。攻撃者は過剰な特権を持つプロセス、アカウント、データベース接続を悪用して次の悪意のある活動を行うが、権限を最小限に限定することでさらなる活動を防止できる可能性がある。
Microsoftはこのような攻撃を検出するために、Microsoft Defender for Cloudの導入を推奨している。Microsoft Defender for Cloudを導入することで、データベースの潜在的な脆弱性を検出し、SQL Server、Azure Cosmos DB、各種データーベースに対して脅威となる可能性のあるアクティビティをMicrosoft Defender for SQLを通じて検出するのに役立つとしている。また、攻撃の緩和策としてMicrosoft Defender for SQLの脆弱性評価ソリューションの活用を推奨している。このソリューションによりデーターベースの脆弱性や設定ミスを検出することができ、SQL Serverの攻撃対象領域を縮小して潜在的な攻撃を防止できるという。
最後に、Microsoftはクラウドにおける横方向の移動を防止するために、「Best practice recommendations for managed system identities - Microsoft Entra | Microsoft Learn」に従うことを推奨している。Microsoft SQL ServerなどのMicrosoft製品および各種クラウドサービスを活用する企業においては、これらMicrosoftが推奨するベストプラクティスを実践してこのような脅威からシステムを保護することが望まれている。
