Black Hat Asia 2021:針對微軟IIS和SQL服務器的新攻擊面
研究人員在Black Hat Asia 2021大會上分享了針對微軟IIS和SQL服務器的新攻擊面。
Unit 42在Black Hat Asia 2021上分享了關于攻擊微軟IIS和SQL服務器的新攻擊面。在演講中,研究人員介紹了一種在IIS和SQL服務器上的遠程數據庫通過SQL注入等場景來執行SQL查詢的新技術。攻擊者利用該技術和微軟Jet數據庫引擎的漏洞可以遠程攻擊IIS和SQL服務器來獲取system權限。
攻擊面
研究人員發現的新的攻擊面是由微軟Jet數據庫引擎支持的遠程數據庫訪問引起的,包括Jet Red數據庫引擎和訪問連接引擎ACE。該特征被攻擊者誤用或濫用就可以在遠程攻擊者控制的服務器上對完全控制的數據庫文件執行SQL查詢。一旦遠程合法數據庫文件被偽造的數據庫文件替換,再執行SQL查詢就會打破微軟Jet/ACE的代碼預制條件和假設,引發Jet組件安全漏洞。
典型的攻擊場景是SQL注入和ad hoc。在這兩個攻擊場景中,攻擊者可以在IIS和SQL服務器上偽造的數據庫上執行任意SQL查詢。引發的Jet漏洞會影響IIS和SQL服務器。具體來說,用戶在表上執行SQL查詢時可以在Jet的表前加上數據庫路徑來分配一個遠程數據庫,如圖1所示:
圖 1. Access 和SQL服務器中的遠程數據庫訪問SQL
在微軟Jet和ACE中,調用CreateFile會打開IIS和SQL服務器中的遠程數據庫文件。遠程數據庫的輸入路徑是UNC路徑,所以SMB和WebDAV會被用來打開遠程數據庫,如圖2所示:
圖 2. IIS和SQL服務器中的隱藏特征
SQL注入和ad hoc是2個潛在的攻擊場景。類似地,IIS和SQL服務器只是2個潛在的受害者。Windows中所有支持Jet和ACE的組件都可能受到該漏洞的影響,因為組件允許用戶在可控制的數據庫上執行任意查詢。
IIS和SQL服務器漏洞
遠程數據庫訪問是的攻擊者可以用偽造的數據庫來替換合法的數據庫文件。研究人員分析發現,替換數據庫是找出微軟Jet和ACE中漏洞的關鍵。研究人員通過模糊策略在微軟Jet和ACE中發現了約100個安全漏洞,如圖3所示。大多數漏洞可以用來攻擊IIS和SQL服務器。
圖 3. 約100個Jet漏洞
研究人員證明了數據庫文件的一字節修改可以引發Jet安全漏洞,如圖4所示:
圖 4. 數據庫一字節修改引發安全漏洞
微軟補丁
微軟對該漏洞分配了CVE編號CVE-2021-28455。2021年5月,微軟發布了該漏洞的安全補丁,補丁為用戶提供了禁用Jet組件和ACE組件的遠程數據庫訪問選項。補丁不僅僅是修復單個JET漏洞,而且還緩解了整個使用Jet組件的應用的攻擊面。
詳細修復步驟參見:https://unit42.paloaltonetworks.com/iis-and-sql-server/
結論
IIS和SQL服務器是微軟生態系統中的基礎組件,廣泛應用于各種生產系統和服務中。微軟Jet數據庫引擎已經有超過20年的歷史,大多數的組件被發現存在安全漏洞,并且容易被利用。遠程數據庫訪問特征連接了Jet漏洞和IIS、SQL服務器組件。攻擊者可以利用這一特征來攻擊IIS和SQL服務器,并通過SQL注入來遠程獲取system權限。
本文翻譯自:https://unit42.paloaltonetworks.com/iis-and-sql-server/
