Alors que les acteurs de la menace cherchent à accéder à l’infrastructure de l’entreprise, ils se tournent de plus en plus vers Microsoft SQL Server comme point d’entrée de préférence, a averti un nouveau rapport de Kaspersky.
Ses recherches affirment que les attaques utilisant Microsoft SQL Server ont augmenté de plus de moitié (56 %) en septembre 2022 par rapport à la même période l’année dernière, car au cours de ce seul mois, le nombre de serveurs compromis est passé à plus de 3 000 terminaux.
Les mois de juillet et août étant l’exception, le nombre de ces attaques a progressivement augmenté au cours de l’année écoulée, a ajouté Kaspersky, et s’est maintenu au-dessus de 3 000 depuis avril 2022.
Défense bâclée
« Malgré la popularité de Microsoft SQL Server, les entreprises n’accordent peut-être pas une priorité suffisante à la protection contre les menaces associées au logiciel. Les attaques utilisant des travaux SQL Server malveillants sont connues depuis longtemps, mais elles sont toujours utilisées par les auteurs pour accéder à l’infrastructure d’une entreprise », a déclaré Sergey Soldatov, responsable du centre des opérations de sécurité chez Kaspersky.
Il y a eu plusieurs incidents récents où Microsoft SQL Servers a été abusé par des acteurs de la menace, le dernier étant survenu il y a un peu plus d’un mois. Fin septembre 2022, des chercheurs en cybersécurité d’AhnLab Security Emergency Response Center ont fait état d’une campagne en cours distribuant le rançongiciel FARGO aux serveurs MS-SQL. Dans cet incident, les attaquants sont allés chercher des terminaux non protégés (s’ouvre dans un nouvel onglet)ou ceux protégés par des mots de passe faibles et facilement déchiffrables.
En avril, en revanche, des acteurs de la menace ont été observés en train d’installer des balises Cobalt Strike sur de tels appareils. Des nouvelles d’attaques contre MS-SQL sont également apparues en mai, juin, ainsi qu’en octobre de cette année.
Dans la plupart des cas, les pirates analysent Internet à la recherche de points de terminaison avec un port TCP 1433 ouvert, puis mènent des attaques par force brute contre eux, jusqu’à ce qu’ils devinent le mot de passe.