Los investigadores de Microsoft han empezado a identificar recientemente ataques en los que el atacante consigue comprometer entornos Azure en la nube, utilizando técnicas de pivotaje desde servidores Microsoft SQL conectados a aplicaciones web vulnerables a la inyección SQL previamente comprometidas.

Los ataques observados comienzan con la explotación de una vulnerabilidad de inyección SQL en una aplicación web del entorno del objetivo. Esto permite a los actores de la amenaza acceder a la instancia de MS SQL Server alojada en la máquina virtual Azure con permisos elevados para ejecutar comandos SQL y extraer datos valiosos. Si la aplicación comprometida tiene permisos elevados, los atacantes pueden activar el comando ‘xp_cmdshell’ para ejecutar comandos del sistema operativo (SO) a través de SQL, lo que les proporciona una shell directa al host (la máquina virtual con el SQL instalado).