microsoft sql

Microsoft SQL: Un nouveau malware découvert

Des chercheurs en sécurité ont découvert une porte dérobée conçue spécialement pour les serveurs Microsoft SQL qui permettrait de contrôler un système compromis.

Nommé Skip-2.0, la porte dérobée est un outil de post-exploitation qui s’exécute dans la mémoire et permet aux pirates distants de se connecter à n’importe quel compte sur un serveur utilisant Microsoft SQL version 11 et version 12 en utilisant un “mot de passe magique.”

Quoi de plus? Le malware reste indétectable sur le serveur Microsoft SQL de la victime en désactivant les fonctions de log de la machine, ainsi que la publication d’événements et les mécanismes d’audit à chaque fois que le “mot de passe magique” est utilisé.

Le pirate peut copier, modifier, ou supprimer le contenu stocké dans la base de donnée.

“Cela pourrait être utilisé pour manipuler de la monnaie dans un jeu pour des gains financiers.” ont déclaré les chercheurs.

Des pirates Chinois ont créé la porte dérobée pour cibler les serveurs Microsoft SQL

microsoft SQL mssql server

Dans le dernier rapport publié par la firme de cybersécurité ESET, les chercheurs ont attribué la porte dérobée Skip-2.0 au groupe Chinois appelé Winnti Group car le malware contient des similarités avec d’autres outils de Winnti Group—en particulier, la porte dérobée PortReuse et ShadowPad.

Documenté pour le première fois par ESET un peu plus tôt ce mois-ci, la porte dérobée PortReuse est un implant de réseau passif pour Windows qui s’injecte dans un processus courant qui écoute sur un port TCP, “réutilisant” un port déjà ouvert et attendant un paquet spécial entrant pour déclencher le code malveillant.

Vu pour la première fois dans une attaque à la chaîne d’approvisionnement contre le fabriquant de logiciel NetSarang en Juillet 2017, ShadowPad est une porte dérobée Windows que les pirates déploient sur les réseaux des victimes pour obtenir des capacités de contrôle à distance flexibles.

Comme les autres payloads de Winnti Group, Skip-2.0 utilise aussi un lanceur chiffré, un emballeur personnalisé, un injecteur à chargement interne et une framework pour installer la porte dérobée, et persisté sur le système ciblé en exploitant une vulnérabilité de détournement DLL dans un processus Windows qui appartient à un service de démarrage du système.

Comme le malware Skip-2.0 est un outil de post-exploitation, un pirate doit d’abord compromettre les serveurs Microsoft SQL pour obtenir les permissions administratives nécessaires pour être persistant et furtif.

“Il faut préciser que même si Microsoft SQL Server 11 et 12 ne sont pas les versions les plus récentes (sorties en 2012 et 2014, respectivement), ce sont les versions les plus utilisées selon les données de Censys,” ont expliqué les chercheurs.

Winnti Group était aussi impliqué dans le piratage de TeamViewer en 2016.