研究人員在Black Hat Asia 2021大會上分享了針對微軟IIS和SQL服務器的新攻擊面。

Unit 42在Black Hat Asia 2021上分享了關于攻擊微軟IIS和SQL服務器的新攻擊面。在演講中，研究人員介紹了一種在IIS和SQL服務器上的遠程數(shù)據(jù)庫通過SQL注入等場景來執(zhí)行SQL查詢的新技術。攻擊者利用該技術和微軟Jet數(shù)據(jù)庫引擎的漏洞可以遠程攻擊IIS和SQL服務器來獲取system權限。

[[415984]]

攻擊面

研究人員發(fā)現(xiàn)的新的攻擊面是由微軟Jet數(shù)據(jù)庫引擎支持的遠程數(shù)據(jù)庫訪問引起的，包括Jet Red數(shù)據(jù)庫引擎和訪問連接引擎ACE。該特征被攻擊者誤用或濫用就可以在遠程攻擊者控制的服務器上對完全控制的數(shù)據(jù)庫文件執(zhí)行SQL查詢。一旦遠程合法數(shù)據(jù)庫文件被偽造的數(shù)據(jù)庫文件替換，再執(zhí)行SQL查詢就會打破微軟Jet/ACE的代碼預制條件和假設，引發(fā)Jet組件安全漏洞。

典型的攻擊場景是SQL注入和ad hoc。在這兩個攻擊場景中，攻擊者可以在IIS和SQL服務器上偽造的數(shù)據(jù)庫上執(zhí)行任意SQL查詢。引發(fā)的Jet漏洞會影響IIS和SQL服務器。具體來說，用戶在表上執(zhí)行SQL查詢時可以在Jet的表前加上數(shù)據(jù)庫路徑來分配一個遠程數(shù)據(jù)庫，如圖1所示：

圖 1. Access 和SQL服務器中的遠程數(shù)據(jù)庫訪問SQL

在微軟Jet和ACE中，調(diào)用CreateFile會打開IIS和SQL服務器中的遠程數(shù)據(jù)庫文件。遠程數(shù)據(jù)庫的輸入路徑是UNC路徑，所以SMB和WebDAV會被用來打開遠程數(shù)據(jù)庫，如圖2所示：

圖 2. IIS和SQL服務器中的隱藏特征

SQL注入和ad hoc是2個潛在的攻擊場景。類似地，IIS和SQL服務器只是2個潛在的受害者。Windows中所有支持Jet和ACE的組件都可能受到該漏洞的影響，因為組件允許用戶在可控制的數(shù)據(jù)庫上執(zhí)行任意查詢。

IIS和SQL服務器漏洞

遠程數(shù)據(jù)庫訪問是的攻擊者可以用偽造的數(shù)據(jù)庫來替換合法的數(shù)據(jù)庫文件。研究人員分析發(fā)現(xiàn)，替換數(shù)據(jù)庫是找出微軟Jet和ACE中漏洞的關鍵。研究人員通過模糊策略在微軟Jet和ACE中發(fā)現(xiàn)了約100個安全漏洞，如圖3所示。大多數(shù)漏洞可以用來攻擊IIS和SQL服務器。

圖 3. 約100個Jet漏洞

研究人員證明了數(shù)據(jù)庫文件的一字節(jié)修改可以引發(fā)Jet安全漏洞，如圖4所示：

圖 4. 數(shù)據(jù)庫一字節(jié)修改引發(fā)安全漏洞

微軟補丁

微軟對該漏洞分配了CVE編號CVE-2021-28455。2021年5月，微軟發(fā)布了該漏洞的安全補丁，補丁為用戶提供了禁用Jet組件和ACE組件的遠程數(shù)據(jù)庫訪問選項。補丁不僅僅是修復單個JET漏洞，而且還緩解了整個使用Jet組件的應用的攻擊面。

詳細修復步驟參見：https://unit42.paloaltonetworks.com/iis-and-sql-server/

結(jié)論

IIS和SQL服務器是微軟生態(tài)系統(tǒng)中的基礎組件，廣泛應用于各種生產(chǎn)系統(tǒng)和服務中。微軟Jet數(shù)據(jù)庫引擎已經(jīng)有超過20年的歷史，大多數(shù)的組件被發(fā)現(xiàn)存在安全漏洞，并且容易被利用。遠程數(shù)據(jù)庫訪問特征連接了Jet漏洞和IIS、SQL服務器組件。攻擊者可以利用這一特征來攻擊IIS和SQL服務器，并通過SQL注入來遠程獲取system權限。

本文翻譯自：https://unit42.paloaltonetworks.com/iis-and-sql-server/