Une nouvelle série de cyberattaques par brute force a été signalée par Microsoft qui cible les serveurs SQL en se servant d’un binaire inhabituel de type « living-off-the-land » (LOLBin).

Ce type d’attaques s'appuient en particulier sur un utilitaire légitime appelé sqlps.exe (un wrapper PowerShell qui prend en charge l'exécution de cmdlets construits par SQL), cela permet aux acteurs de menaces d’obtenir une persistance sans fichier sur les serveurs SQL qui utilisent des mots de passe faibles ou par défaut.

L’exploitation réussite de cette attaque conduit à l’exécution de commandes de reconnaissance et à la modification du mode de démarrage du service SQL en LocalSystem. La légitimité de l’outil permet également de masquer l’activité malveillante des attaquants face aux moyens de détection et d'entraver l'analyse forensics.

"Les défenseurs surveillent généralement l'utilisation de PowerShell dans leur environnement. L'utilitaire sqlps.exe, qui est fourni par défaut avec toutes les versions de SQL, a une fonctionnalité similaire et mérite également une surveillance accrue", a averti Microsoft Security Intelligence sur Twitter.

Selon la société, sqlps.exe est également utilisé pour créer un nouveau compte avec des privilèges sysadmin, qui est ensuite utilisé pour prendre le contrôle du serveur SQL compromis.

Les organisations peuvent atténuer les risques liés aux attaques par brute force en utilisant des identifiants forts et uniques, en surveillant les noms d'utilisateur et les mots de passe compromis, en activant la journalisation, en surveillant l'environnement pour détecter toute activité suspecte, en mettant en œuvre des politiques d'accès conditionnel appropriées, en utilisant des outils de détection d'entreprise et en maintenant tous les logiciels à jour.