Siber güvenlik araştırmacıları, saldırganların MSSQL sunucularını ele geçirmelerine olanak veren bir backdoor keşfettiler.
“Winnti Group” adlı Çinli bir tehdit grubu tarafından yazıldığı düşünülen ve Skip-2.0 olarak adlandırılan bu zararlı backdoor yazılımı, saldırganların MSSQL 11 ve 12 sürümlerine “magic password (sihirli parola)” kullanarak uzaktan bağlanabilmelerini sağlayan bir post-exploitation aracıdır.
Bu zararlı yazılım ile MSSQL sunucularına erişim sağlayan saldırganlar, sunucuların kayıt tutma özelliklerini, olay bildirim özelliklerini ve denetim mekanizmalarını devre dışı bırakarak yakalanmadan işlem yapabilirler. Böylece saldırganlar veritabanı içeriğini gizlice kopyalayabilirler, değiştirebilirler veya silebilirler.
Yazılım bir post-exploitation aracı olduğundan dolayı, bu yazılımı kullanmak isteyen saldırganlar öncelikle sistem üzerinde yüksek yetkilere sahip olmalıdırlar. Daha sonra MSSQL 11 ve 12 sürümleri üzerinde bu yazılımı kullanabilirler.
Bu nedenle saldırganların sisteme sızmaları ve yüksek yetkilere ulaşmalarını engelleyen her türden kısıtlamalar uygulanmalı ve daha güncel MSSQL sürümlerinin kullanılması önerilmektedir.
Ramin KARIMKHANI
