Backdoor gevonden voor Microsoft SQL server 2012 en 2014

Cybersecurity onderzoekers hebben aangegeven dat ze een nog niet eerdere gedocumenteerde backdoor hebben gevonden die speciaal is gemaakt voor Microsoft SQL servers. Met deze backdoor kunnen externe aanvallers de controle krijgen over een systeem dat al gecompromitteerd is, zonder dat het slachtoffer dit weet.

Deze backdoor heeft de naam Skip-2.0 gekregen en is een “exploit tool” die wordt gebruikt nadat een exploit succesvol is geweest. Deze tool draait in het memory van het systeem en zorgt ervoor dat externe aanvallers een connectie kunnen maken met ieder account op een server dat MSSQL versie 11 of 12 gebruikt, doordat ze gebruik maken van een “magic password.”

Erger nog is dat deze malware ervoor zorgt dat deze onopgemerkt blijft, doordat deze op de machine van het slachtoffer de logging functies, “event publishing” en audit mechanismes uitschakelt, iedere keer als het “magic password” wordt gebruikt. Hiermee heeft de externe aanvaller de mogelijkheid om op de server content te kopiëren, aanpassen of zelfs verwijderen, zonder dat het slachtoffer het door heeft. De impact hiervan is verschillend per geïntegreerde applicatie die aanwezig zijn op de servers.

De backdoor kan bijvoorbeeld gebruikt worden voor het manipuleren van valuta in games voor financieel gewin. Er is bekend dat de Winnti operators die achter de backdoor zitten op dit moment hier al mee bezig zijn.

Winnti groep

Cybersecurity bedrijf ESET heeft de skip-2.0 backdoor gelinkt aan de Winnti groep in hun laatste rapport, gezien deze backdoor verschillende overeenkomsten heeft met de PortReuse backdoor en ShadowPad.

Net als andere Winnti Groep “payloads” maakt Skip-2.0 gebruik van een geëncrypte “VMProtected launcher”, “custom packer”, “inner-loader injector” en “hooking framework” voor het installeren van de backdoor, welke persistent aanwezig blijft op het doelsysteem door misbruik te maken van een “DLL hijacking” kwetsbaarheid in een Windows proces, die behoort tot de systeem “startup service.”

Sinds de Skip-2.0 backdoor een exploit tool is die alleen werkt wanneer een aanvaller de doel MSSQL server heeft gecomprimeerd om administrator rechten te verkrijgen die nodig zijn voor de persistentie en het onzichtbaar blijven op dit systeem.

Welke versies zijn kwetsbaar?

MSSQL Server 2012 (versie 11) en  MSSQL Server 2014 (versie 12) zijn kwetsbaar voor deze backdoor, dit zijn niet de meest recente MSSQL Server producten, maar wel de meest gebruikte op basis van data van Censys.

Wordt de backdoor actief misbruikt?

De backdoor Skip-2.0 wordt momenteel actief gebruikt door de Winnti groep, aangezien deze is ontdekt door Security onderzoekers, betekend dit dat er al misbruik van is gemaakt.

Advies

Gezien deze backdoor alleen werkt, wanneer de Microsoft SQL Server al gecompromitteerd is, adviseren wij wanneer er gebruik wordt gemaakt van Microsoft SQL Server 2012 of/en 2014 deze systemen up-to-date te houden met de laatste updates, zodat de kans geminimaliseerd wordt dat het systeem gecompromitteerd wordt.

Eventueel zou dit ook een overweging kunnen zijn om gebruik te gaan maken van Microsoft SQL Server 2016 (versie 12) of Microsoft SQL Server 2017 (versie 13).

sudo security bypass
Kwetsbaarheid in Sudo gevonden
Nginx-webservers kwetsbaar door PHP7 RCE bug

Gerelateerde berichten

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden

achttien + 9 =

Menu