據報道稱，微軟正對使用Microsoft SQL Server (MSSQL) 數據庫服務器的用戶發出安全警告，警惕攻擊者利用弱密碼對暴露在網絡上的 MSSQL發動暴力攻擊。

這已經不是MSSQL服務器第一次成為此類攻擊的目標，但微軟安全情報團隊透露，最近觀察到的這次活動背后的攻擊者正在使用合法的sqlps.exe工具作為LOLBin(離地攻擊，living-off-the-land binary的縮寫)二進制文件來運行偵察命令，并將 SQL 服務的啟動模式更改為 LocalSystem 來實現無文件持久性。

攻擊者還使用 sqlps.exe 創建新帳戶，并將其添加到 sysadmin 角色中，使他們能夠完全控制 SQL 服務器，獲得執行其他操作的權限，包括部署像挖礦木馬這樣的有效負載。

由于sqlps是Microsoft SQL Server 附帶的一個實用程序，它允許將 SQL Server cmdlet 作為 LOLBin 加載，使攻擊者能夠執行 PowerShell 命令，而不必擔心防御系統檢測到他們的惡意行為。sqlps還會讓這些攻擊不留下任何痕跡，因為使用 sqlps 是繞過腳本塊日志記錄的有效方法，這是一種 PowerShell 功能，否則會將 cmdlet 操作記錄到 Windows 事件日志中。

多年來，MSSQL 服務器一直是大規模攻擊活動的主要目標之一，攻擊者每天都會試圖劫持數千臺易受攻擊的服務器。在近兩年的攻擊事件中，攻擊者通過暴力破解，在2000多臺暴露于網絡上的服務器中安裝了挖礦軟件和遠程訪問木馬。在今年3月的攻擊報告中，攻擊者針對 MSSQL 服務器部署了Gh0stCringe(又名 CirenegRAT)遠程訪問木馬 。

為了保護 MSSQL 服務器免受此類攻擊，微軟建議對服務器使用不容易被破解的強密碼，并確保服務器始終處在防火墻的保護之下，不要被暴露至公開的互聯網絡環境中。