Les attaques répétées via Microsoft SQL Server ont augmenté de 56% en 2022

0

Les attaques exploitant Microsoft SQL Server ont augmenté de 56 % en septembre 2022 par rapport à la même période l’année dernière. Les agents malveillants continuent à utiliser une attaque fréquemment mise en œuvre, employant le SQL Server de Microsoft pour tenter d’accéder aux infrastructures informatiques des entreprises. Les détails techniques de l’un de ces incidents ont été analysés et rapportés dans le nouveau rapport Managed Detection and Response de Kaspersky.

Les experts de Kaspersky ont constaté une augmentation des attaques utilisant les processus de Microsoft SQL Server, un système de gestion de bases de données utilisé dans le monde entier, aussi bien par des multinationales que par des PME. En septembre 2022, le nombre de serveurs SQL touchés s’élevait à plus de 3 000 unités, soit une croissance de 56 % par rapport à la même période l’année précédente. Ces attaques ont été efficacement identifiées par la solution  Kaspersky Endpoint Security for Business et Managed Detection and Response.

Le nombre d’attaques suivant ce procédé a progressivement augmenté au cours de l’année dernière, et a dépassé la barre des 3000 attaques tous les mois depuis avril 2022, à l’exception d’une légère baisse enregistrée en juillet et août.

« Malgré la popularité de Microsoft SQL Server, les entreprises n’accordent peut-être pas une importance suffisante à la protection contre les menaces qui peuvent cibler ce logiciel. Les attaques utilisant des jobs SQL Server malveillants ne sont pas une nouveauté, mais elles sont toujours utilisées par les cybercriminels pour accéder à l’infrastructure d’une entreprise« , a déclaré Sergey Soldatov, responsable du centre des opérations de sécurité chez Kaspersky. 

Un incident particulier : les scripts PowerShell et les fichiers .PNG

Dans le nouveau rapport consacré aux incidents Managed Detection and Response les plus intéressants, les chercheurs de Kaspersky décrivent une attaque employant des jobs Microsoft SQL Server, une séquence de commandes exécutées par l’agent du serveur. 

«Les agents malveillants ont tenté de modifier la configuration du serveur afin d’accéder au shell pour exécuter un malware via PowerShell. Le serveur SQL corrompu tente d’exécuter des scripts PowerShell malveillants, générant une connexion à des adresses IP externes. Ce script PowerShell exécute le malware déguisé en fichier .png à partir de cette adresse IP externe en utilisant l’attribut « MsiMake », très similaire au fonctionnement du malware PurpleFox », explique M. Soldatov. 

Un exemple de tâches SQL contenant des commandes PowerShell obscurcies.

Pour lire l’intégralité du rapport Managed Detection and Response, rendez-vous sur Securelist.com.

Pour protéger les entreprises contre les menaces, les experts de Kaspersky recommandent de mettre en œuvre les mesures suivantes :

  • Maintenez toujours les logiciels à jour sur tous les appareils que vous utilisez pour empêcher les cyberpirates d’infiltrer votre réseau en exploitant ses vulnérabilités. Installez les correctifs édités pour couvrir les nouvelles vulnérabilités dès que possible. Une fois un correctif téléchargé, les acteurs de la menace ne peuvent plus exploiter la vulnérabilité concernée. 

  • Utilisez les informations les plus récentes en matière de renseignements sur les menaces pour rester au courant des TTP réels utilisés par les acteurs de la menace.

  • Choisissez une solution de sécurité des points de terminaux fiable, qui est dotée de fonctions de détection basées sur le comportement et de contrôle des anomalies pour une protection optimale contre les menaces connues et inconnues.

  • Des services dédiés peuvent aider à combattre les attaques de grande envergure et de les stopper à un stade précoce, avant que les auteurs ne parviennent à leurs fins.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.