Microsoft mengungkap adanya upaya-upaya peretasan terhadap lingkungan cloud melalui kerentanan pada SQL Server menggunakan teknik SQL injection.
Dalam sebuah laporan yang dirilis Selasa lalu, para periset keamanan Microsoft, Sunders Bruskin, Hagai Ran Kestenberg, dan Fady Nasereldeen memaparkan bahwa para aktor ancaman memulai serangan dengan mengeksploitasi kerentanan SQL injection pada sebuah aplikasi yang ada di lingkungan yang disasar penyerang.
Dengan cara ini, penyerang memperoleh hak akses dan ijin dengan tingkatan yang lebih tinggi ke instance Microsoft SQL Server yang di-deploy di virtual machine Azure.
Berbekal ijin ini, penyerang dapat mengeksekusi SQL command dan mengekstraksi data-data yang berharga. Data-data yang berpotensi diekstraksi seperti data di database, nama table, skema, versi database, konfigurasi jaringan, ijin untuk membaca/menulis/menghapus.
Selanjutnya, si pelaku ancaman memanfaatkan izin baru yang diperolehnya itu untuk mencoba berpindah secara lateral ke sumber daya cloud lain dengan menyalahgunakan identitas cloud server, yang mungkin memiliki izin yang lebih tinggi, untuk melakukan berbagai tindakan jahat di cloud yang dapat diakses oleh identitas tersebut.
Di Azure, sumber daya komputasi seringkali diberikan identitas terkelola (managed identity) untuk autentikasi pada sumber daya dan layanan cloud lainnya. Menurut laporan yang ditulis para periset keamanan Microsoft, jika penyerang sampai mendapatkan token tersebut, mereka dapat memanfaatkannya untuk mengakses sumber daya cloud apa saja yang bisa diakses dengan ijin yang sudah digenggamnya itu.
Para ahli keamanan Microsoft menduga, tujuan akhir dari operasi ini adalah menyalahgunakan token (cloud identity access key) untuk melakukan berbagai operasi pada sumber daya cloud, termasuk pergerakan lateral di seluruh lingkungan cloud.
Untuk menghilangkan jejak, para aktor ancaman akan menghapus skrip yang mereka unduh dan menghapus modifikasi temporer yang mereka lakukan di database.
Menurut Microsoft, para penyerang gagal memanfaatkan teknik ini untuk menyerang secara lateral ke sumber-sumber daya cloud melalui Azure karena adanya kesalahan.
Namun para periset keamanan Microsoft mengingatkan bahwa teknik yang digunakan para aktor ancaman ini tetap valid dan berpotensi menjadi ancaman yang mengerikan bagi organisasi dan perusahaan.
Serangan ini memperlihatkan semakin canggihnya teknik serangan berbasis cloud. Para penjahat siber secara terus menerus mencari proses, akun, identitas terkelola, dan koneksi database dengan hak akses berlebihan (over-privileged) untuk melakukan aktivitas jahat lebih lanjut.
Para ahli keamanan Microsoft mengaku sudah familiar dengan teknik serangan ini yang pernah dijumpai di layanan cloud lainnya seperti klaster VM dan Kubernetes. Namun serangan terhadap instance SQL Server memang belum pernah terjadi sebelumnya.
"Tidak mengamankan identitas cloud dengan benar dapat menyebabkan instance SQL Server dan sumber daya cloud terkena risiko semacam ini. Metode ini memberikan peluang bagi penyerang untuk membuat dampak yang lebih besar, tidak hanya pada instance SQL Server, tetapi juga pada sumber daya cloud terkait," para ahli keamanan Microsoft memberikan kesimpulan.
Microsoft menyarankan penggunaan Defender for Cloud dan Defender for Endpoint untuk menangkap SQL injections dan aktivitas SQLCMD yang mencurigakan.
Untuk memitigasi ancaman ini, Microsoft juga merekomendasikan penerapan prinsip least privilege ketika memberikan user permission. Cara ini, disebut Microsoft, akan mempersulit upaya-upaya pergerakan lateral.
Baca juga: Alasan Perusahaan Wajib Pakai Apache Flink di Confluent Cloud
Baca juga: Tips Meningkatkan Keamanan Siber di Platform Medsos Mastodon
Baca juga: Bos Microsoft Bongkar Cara Curang Google Dominasi Pasar AI di Dunia