L’azienda ha scoperto una nuova minaccia backdoor per SQL Server di Microsoft che rende il database teoricamente accessibile con una singola password
ESET ha attribuito un attacco perpetrato via SQL Server al gruppo cinese Winnti, conosciuto anche con i nomi di APT17, Axiom e Ke3chang. I tecnici sostengono che il campione di backdoor scoperto, chiamato Skip-2.0, presenta una serie di somiglianze con i precedenti strumenti di attacco collegati a Winnti Group, incluso l’uso della backdoor PortReuse e del Trojan ShadowPad.
«Tale backdoor potrebbe consentire a un utente malintenzionato di copiare, modificare o eliminare di nascosto il contenuto del database. Questo potrebbe essere utilizzato, ad esempio, per manipolare le valute in-game a scopo di lucro. Sono già state segnalate manipolazioni da parte degli operatori Winnti» dicono da Eset.
Cosa sappiamo
Come nel caso di PortReuse e ShadowPad, il programma di avvio persiste probabilmente sfruttando una vulnerabilità di dirottamento della DLL installando in C:\Windows\System32\TSVIPSrv.DLL la DLL caricata dal servizio standard SessionEnv di Windows all’avvio del sistema. Ciò consente alla backdoor di mantenere la persistenza.
«Una volta decodificato, il payload incorporato è in realtà il packer personalizzato di Winnti Group e la sua configurazione contiene la chiave di decrittazione del file binario compresso, nonché il nome file originale, le dimensioni e il tipo di esecuzione (EXE o DLL)».
A seguito di un’analisi dell’esempio dello strumento, i ricercatori di ESET hanno testato skip-2.0 su più versioni di Microsoft SQL Server e sono riusciti ad accedere correttamente utilizzando una password speciale con MS SQL Server 11 e 12. SQL Server 12 è stato rilasciato nel 2014 e, pertanto, è stato sostituito da SQL Server 2017, l’ultima iterazione del popolare prodotto di database aziendale, e rimane la versione più comunemente utilizzata di SQL Server, secondo i dati di Censys Technologies.
