Microsoft señala un ataque dirigido a servidores SQL con un enfoque novedoso



Microsoft Stability Intelligence tuiteó esta semana una advertencia sobre una campaña de ataque dirigida a servidores SQL y utilizando un nuevo enfoque para evadir el monitoreo de PowerShell.

En lugar de PowerShell, estos actores de amenazas utilizan sqlps.exe, una utilidad que viene de serie con cada versión de SQL y funciona como un «contenedor para ejecutar CMDlets creados en SQL, para ejecutar comandos y cambiar el modo de inicio del servicio SQL a LocalSystem. «, explicó Microsoft en un hilo de tweet. La nueva campaña comienza con un ataque de fuerza bruta y, en última instancia, permite a los atacantes apoderarse de los servidores objetivo e implementar malware, como mineros de monedas.

Los defensores deben tomar nota de la cooptación de la utilidad sqlps.exe y comenzar a monitorear sus entornos de servidor SQL para su uso tan de cerca como lo hacen con PowerShell, según el equipo de inteligencia de seguridad de Microsoft. tuits de aviso.

«El uso de este binario poco común que vive fuera de la tierra (LOLBin) destaca la importancia de obtener una visibilidad completa del comportamiento en tiempo de ejecución de los scripts para exponer el código malicioso», dijo el equipo.

Manténgase al día con las últimas amenazas de ciberseguridad, vulnerabilidades descubiertas recientemente, información sobre filtraciones de datos y tendencias emergentes. Entregado diariamente o semanalmente directamente a su bandeja de entrada de correo electrónico.

Suscribir





Enlace a la noticia primary