Microsoft SQL Servers, víctimas con Cobalt strike

Cobalt Strike es una herramienta de seguridad informática utilizada para simular ataques reales dentro de una red. Esta herramienta posee grandes características de maleabilidad y robustez que permiten hacer escalamientos laterales dentro de una red y emplear cargas de malware.

 Como se mencionó Cobalt Strike es una herramienta usada bajo licencia para auditar redes internas, sin embargo, en los últimos años ciberdelincuentes han logrado descifrar versiones completas de esta herramienta, teniendo acceso a todas sus características y herramientas, lo que la convierte en una herramienta muy peligrosa. Por lo que es una de las herramientas favoritas de los cibercriminales actualmente y una de sus principales víctimas están siendo los servidores de Microsoft SQL Server expuestos a internet que no posean los parches de seguridad recientes o estén mal configurados.

 Las intrusiones se realizan escaneando el puerto 1433 para identificar servidores MS SQL expuestos, de ser así, posteriormente son comprometidos con ataques de diccionario y fuerza bruta, para lograr tener acceso como administrador al servidor.

 Una vez obtenido el acceso proceden a comprometer la red interna mediante Cobalt Strike, esto también incluye a más servidores de MS SQL, aunque estos no estén expuestos a internet.

 2 semanas atrás Microsoft libero 51 actualizaciones de seguridad para sus productos incluyendo servidores MS SQL, por lo que se recomienda parchar los servidores lo más pronto posible, incluso si estos no están expuestos a internet.

 Otra de las recomendaciones es contar con una política de contraseñas seguras principalmente en las cuentas de administrador, para evitar tener contraseñas por defecto o contraseñas débiles ante un ataque de fuerza bruta por diccionario y cambiar las contraseñas periódicamente, para evitar ser víctimas de esta nueva tendencia de ataque hacia los servidores MSSQL.

‍