Microsoft SQL concerné par un nouveau malware nommé Skip-2.0

Des chercheurs en sécurité ont découvert une porte dérobée conçue spécialement pour les serveurs Microsoft SQL qui permettrait de contrôler un système compromis.

Microsoft SQL Server est un système de gestion de base de données (SGBD) en langage SQL incorporant entre autres un SGBDR (SGBD relationnel ») développé et commercialisé par la société Microsoft. Il fonctionne sous les OS Windows et Linux (depuis mars 2016), mais il est possible de le lancer sur Mac OS via Docker, car il en existe une version en téléchargement sur le site de Microsoft. SQL Server se distingue de la concurrence par une grande richesse ne nécessitant aucune option payante supplémentaire dans la limite de la version choisie.

Nommé Skip-2.0, la porte dérobée est un outil de post-exploitation qui s’exécute dans la mémoire et permet aux pirates distants de se connecter à n’importe quel compte sur un serveur utilisant Microsoft SQL version 11 et version 12 en utilisant un “mot de passe magique.”

Quoi de plus? Le malware reste indétectable sur le serveur Microsoft SQL de la victime en désactivant les fonctions de log de la machine, ainsi que la publication d’événements et les mécanismes d’audit à chaque fois que le “mot de passe magique” est utilisé.

Le pirate peut copier, modifier, ou supprimer le contenu stocké dans la base de donnée.

“Cela pourrait être utilisé pour manipuler de la monnaie dans un jeu pour des gains financiers.” ont déclaré les chercheurs.

Des pirates Chinois ont créé la porte dérobée pour cibler les serveurs Microsoft SQL

microsoft SQL mssql server

Dans le dernier rapport publié par la firme de cybersécurité ESET, les chercheurs ont attribué la porte dérobée Skip-2.0 au groupe Chinois appelé Winnti Group car le malware contient des similarités avec d’autres outils de Winnti Group—en particulier, la porte dérobée PortReuse et ShadowPad.

Winnti Group (Advanced Persistent Threat) fonctionne depuis un certain temps, causant des maux de tête à de nombreuses victimes. Les chercheurs de logiciels malveillants estiment que Winnti Group est implanté en Chine. Winnti Group cible souvent des sociétés du secteur des jeux ou du développement de logiciels. Leurs attaques sont connues pour être furtives et il est possible qu’elles restent longtemps sous le radar de leurs victimes. Le groupe de piratage informatique dispose d’un arsenal décent d’outils et il est connu pour préférer la furtivité à la destruction.

Documenté pour le première fois par ESET un peu plus tôt ce mois-ci, la porte dérobée PortReuse est un implant de réseau passif pour Windows qui s’injecte dans un processus courant qui écoute sur un port TCP, “réutilisant” un port déjà ouvert et attendant un paquet spécial entrant pour déclencher le code malveillant.

Vu pour la première fois dans une attaque à la chaîne d’approvisionnement contre le fabriquant de logiciel NetSarang en Juillet 2017, ShadowPad est une porte dérobée Windows que les pirates déploient sur les réseaux des victimes pour obtenir des capacités de contrôle à distance flexibles.

Comme les autres payloads de Winnti Group, Skip-2.0 utilise aussi un lanceur chiffré, un emballeur personnalisé, un injecteur à chargement interne et une framework pour installer la porte dérobée, et persisté sur le système ciblé en exploitant une vulnérabilité de détournement DLL dans un processus Windows qui appartient à un service de démarrage du système.

Comme le malware Skip-2.0 est un outil de post-exploitation, un pirate doit d’abord compromettre les serveurs Microsoft SQL pour obtenir les permissions administratives nécessaires pour être persistant et furtif.

“Il faut préciser que même si Microsoft SQL Server 11 et 12 ne sont pas les versions les plus récentes (sorties en 2012 et 2014, respectivement), ce sont les versions les plus utilisées selon les données de Censys,” ont expliqué les chercheurs.

Winnti Group était aussi impliqué dans le piratage de TeamViewer en 2016.

Poster un Commentaire

avatar
  S’abonner  
Notifier de