Microsoft SQL Server può essere lo strumento di attacchi informatici alle infrastrutture IT aziendali. Il problema è noto da tempo ma non sembra in via di risoluzione, anzi. Nel settembre di quest’anno Kaspersky ha rilevato più di tremila attacchi diretti verso server SQL, un numero in crescita del 56% rispetto al settembre del 2021.
“Nonostante la popolarità di Microsoft SQL Server, le aziende potrebbero non attribuire la priorità adeguata alla protezione contro le minacce associate al software”, ha commentato Sergey Soldatov, head of security operations center di Kaspersky. “Gli attacchi che utilizzano funzioni malevole di SQL Server sono noti da tempo, ma vengono ancora utilizzati per ottenere l’accesso all’infrastruttura di un’azienda”.
Il numero degli attacchi è aumentato gradualmente nel corso dell’ultimo anno e da aprile si è stabilizzato sopra i tremila al mese, con l’eccezione di una leggera diminuzione a luglio e ad agosto. Gli episodi, rilevati e bloccati da Kaspersky Endpoint Security for Business e Managed Detection and Response, presentavano un medesimo schema di attacco basato sulla ricerca di server esposti in Rete e sull’esecuzione di lavori SQL malevoli, contenenti comandi PowerShell offuscati.
Un particolare incidente rilevato da Kaspersky viene così descritto da Soldatov: “Gli attaccanti hanno tentato di modificare la configurazione del server per ottenere l’accesso a una shell ed eseguire il malware tramite PowerShell. Il server SQL compromesso cercava di lanciare script PowerShell dannosi che generavano una connessione a indirizzi IP esterni. Lo script PowerShell esegue il malware in forma di file .png da un indirizzo IP esterno utilizzando la funzione “MsiMake”, che è molto simile al meccanismo del malware PurpleFox”.
(Fonte: Kaspersky)
Come difendersi da questo tipo di rischi?Kaspersky raccomanda alle aziende di mantenere sempre aggiornati i software su tutti i dispositivi utilizzati, installando subito qualsiasi patch disponibile, per evitare la presenza di vulnerabilità che potrebbero essere sfruttate. Inoltre è consigliabile utilizzare soluzioni per la protezione degli endpoint e basarsi sulle più recenti informazioni di threat intelligence. Affidarsi a servizi gestiti di Managed Detection and Response è un’ulteriore opzione.