【安全资讯】微软警告针对MSSQL Server的攻击活动

近日，微软正在对使用Microsoft SQL Server (MSSQL) 数据库服务器的用户发出安全警告，警惕攻击者利用弱密码对暴露在网络上的MSSQL发动暴力攻击。

MSSQL Server是指微软的SQL Server数据库服务器，它是一个数据库平台，提供数据库的从服务器到终端的完整解决方案，其中数据库的服务器部分，是一个数据库管理系统，用于建立、使用和维护数据库。

微软安全情报团队表示，这已经不是MSSQL服务器第一次成为此类攻击的目标。该活动使用暴力破解方法进行初始破坏，该活动的突出之处在于它使用了合法工具sqlps.exe。

sqlps.exe是用于运行SQL-built cmdlets的 PowerShell 包装器，是MSSQL附带的一个实用程序，它允许将 SQL Server cmdlet 作为 LOLBin 加载，使攻击者能够执行PowerShell命令而不用担心防御者检测到其恶意行为。

攻击者通过生成 sqlps.exe 实用程序来运行侦察命令并将SQL服务的启动模式改为LocalSystem来实现无文件持久性。此外，攻击者还使用 sqlps.exe 创建新帐户，并将其添加到 sysadmin 角色中，以便能够完全控制SQL Server，执行其它操作，比如部署加密矿工这样的Payload。

多年来，MSSQL 服务器一直是大规模攻击活动的主要目标之一，攻击者每天都会试图劫持数千台易受攻击的服务器。在近两年的攻击事件中，攻击者通过暴力破解，在2000多台暴露于网络上的服务器中安装了挖矿软件和远程访问木马。在今年3月的攻击报告中，攻击者针对 MSSQL 服务器部署了Gh0stCringe（又名 CirenegRAT）远程访问木马 。

为了保护MSSQL Server免受此类攻击，建议管理员不要将其暴露至公开的互联网环境中，使用强密码，并将服务器置于防火墙之后；启用日志记录以监控可疑活动或重复登录尝试；应用最新的安全更新来减少攻击面并阻止针对已知漏洞的攻击。

来源 |  维他命安全