Les chercheurs en cybersécurité affirment avoir découvert un backdoor spécialement conçu pour Microsoft SQL Server, qui pourrait permettre à un attaquant distant de contrôler un système déjà compromis rapporte le journal spécialisé Thehackernews.

Surnommé Skip-2.0, le backdoor malware est un outil de post-exploitation qui s'exécute en mémoire et permet aux attaquants distants de se connecter à n'importe quel compte du serveur exécutant MSSQL Server versions 11 et 12 à l'aide d'un "mot de passe prédéfini".

Ce malware parvient à rester non détecté sur MSSQL Server de la victime en désactivant les fonctions de journalisation, la publication d'événements et les mécanismes d'audit de la machine compromise chaque fois que le "mot de passe prédéfini" est utilisé.

Grâce à ces fonctionnalités, un attaquant peut copier, modifier ou supprimer le contenu stocké dans une base de données, dont l'impact varie d'une application à une autre.

Dans leur dernier rapport publié par la société de cybersécurité ESET, des chercheurs ont affirmé que le backdoor Skip-2.0 est développé par Winnti Group proche de l'État chinois, vue les nombreuses similitudes avec d'autres outils connus du groupe Winnti, notamment PortReuse backdoor et ShadowPad.

Référencé pour la première fois par ESET ce mois-ci (octobre), PortReuse backdoor est un implant réseau passif pour Windows qui s’injecte dans un processus en cours d’écoute déjà sur un port TCP, "réutilise" un port déjà ouvert et attend un paquet magique entrant pour déclencher le message malveillant.

Comme les autres payloads du groupe Winnti, Skip-2.0 utilise également un launcher, un packer personnalisé, un injecteur interne et un framework de hook VMProtected chiffrés pour installer le backdoor. Il persiste sur le système ciblé en exploitant une vulnérabilité des DLL dans un service de démarrage de Windows.

Le malware Skip-2.0 étant un outil de post-exploitation, un attaquant doit d'abord compromettre des MSSQL Server ciblés pour disposer des privilèges d'administrateur nécessaires.

Il est à noter que même si MSSQL Server 11 et 12 ne sont pas les versions les plus récentes (publiées en 2012 et 2014, respectivement), ce sont les plus utilisées selon les données de Censys".