Các tính năng trí tuệ nhân tạo (AI) mới được tích hợp trong Microsoft SQL Server 2025 đang đặt ra những quan ngại nghiêm trọng về bảo mật, cho phép các tác nhân đe dọa lạm dụng các chức năng hợp pháp để thực hiện các hành vi tẩu dữ liệu và giao tiếp chỉ huy và kiểm soát (C2) một cách lén lút, trực tiếp từ bên trong engine cơ sở dữ liệu. Điều này đánh dấu một sự chuyển dịch trong phương thức tấn công, nơi các công cụ sẵn có được biến thành vũ khí.
Lạm dụng Tính năng AI và REST Endpoint trong SQL Server 2025
Microsoft đã giới thiệu SQL Server 2025 với khả năng tích hợp AI gốc, hỗ trợ các tác vụ hiện đại như Retrieval-Augmented Generation (RAG). Tuy nhiên, chính những khả năng này lại đang bị những kẻ tấn công tái sử dụng làm các công cụ mạnh mẽ sau khi xâm nhập hệ thống. Các nhà nghiên cứu tại SpecterOps đã trình diễn cách các tính năng này có thể bị khai thác.
Stored Procedure sp_invoke_external_rest_endpoint
Một trong những bổ sung quan trọng nhất là stored procedure sp_invoke_external_rest_endpoint. Hàm này cho phép SQL Server gửi các yêu cầu HTTPS tới các điểm cuối bên ngoài một cách trực tiếp, không cần thông qua các phương pháp truyền thống như xp_cmdshell hoặc PowerShell. Mặc dù được thiết kế cho giao tiếp API hợp pháp, nó cho phép kẻ tấn công tẩu dữ liệu nhạy cảm qua các kênh mã hóa.
Tính năng này hỗ trợ các gói dữ liệu lên tới 100 MB, giúp truyền tải hiệu quả các tập dữ liệu lớn như thông tin đăng nhập người dùng hoặc bản ghi cơ sở dữ liệu. Trong một kịch bản tấn công được minh họa, một phiên SQL Server bị xâm nhập với đặc quyền sysadmin có thể truy vấn các bảng nhạy cảm, chuyển đổi dữ liệu sang định dạng JSON và truyền nó đến một máy chủ do kẻ tấn công kiểm soát bằng cách sử dụng procedure này.
Vì lưu lượng truy cập bắt nguồn từ engine cơ sở dữ liệu và sử dụng HTTPS, nó có thể vượt qua các công cụ giám sát truyền thống vốn dựa vào việc phát hiện các lệnh đáng ngờ hoặc kết nối đi bất thường. Khả năng này tạo ra một phương thức tẩu dữ liệu hiệu quả và khó bị phát hiện.
CREATE EXTERNAL MODEL và AI_GENERATE_EMBEDDINGS
Một tính năng chính khác là CREATE EXTERNAL MODEL, cho phép SQL Server tích hợp với các mô hình AI bên ngoài. Điều này được bổ sung bởi AI_GENERATE_EMBEDDINGS, chức năng gửi dữ liệu đến các mô hình này và nhận phản hồi có cấu trúc.
Trong khi các tính năng này hướng đến các ứng dụng dựa trên AI, các nhà nghiên cứu đã chứng minh rằng chúng có thể bị lạm dụng để thiết lập các kênh liên lạc bí mật. Kẻ tấn công có thể mã hóa các lệnh và phản hồi trong dữ liệu nhúng AI, làm cho lưu lượng truy cập trông hợp pháp và khó phát hiện. Khả năng này cho phép một hình thức cơ sở hạ tầng C2 mới hoạt động hoàn toàn bên trong các truy vấn SQL.
Bằng cách kết hợp các lệnh gọi mô hình bên ngoài với các lần kiểm tra định kỳ, kẻ tấn công có thể tạo ra các cửa hậu (backdoor) dai dẳng, thực thi lệnh và trả về kết quả mà không cần triển khai mã độc truyền thống. Đây là một ví dụ về khai thác zero-day tiềm ẩn khi các chức năng mới chưa được kiểm soát chặt chẽ.
Các Kỹ thuật Tấn công Nâng cao
Trong các kịch bản phức tạp hơn, kẻ tấn công có thể tải trực tiếp các assembly .NET CLR độc hại vào bộ nhớ SQL Server, loại bỏ nhu cầu về các payload dựa trên đĩa và giảm thiểu thêm rủi ro bị phát hiện. Nghiên cứu cũng nêu bật một kỹ thuật liên quan đến các đường dẫn UNC trong cấu hình mô hình AI.
Các đường dẫn UNC này có thể kích hoạt các nỗ lực xác thực NTLM qua SMB. Điều này cho phép kẻ tấn công thu thập hoặc chuyển tiếp các hash xác thực trong mạng. Mặc dù đã được báo cáo cho Microsoft, hành vi này không được phân loại là một lỗ hổng bảo mật, có nghĩa là nó vẫn có thể bị khai thác trong các triển khai hiện tại.
Cơ chế Duy trì và Rủi ro Bảo mật
Duy trì quyền truy cập là một mối quan ngại khác. Kẻ tấn công có thể tạo các trigger cơ sở dữ liệu để tự động tẩu dữ liệu mới được chèn hoặc cập nhật. Ví dụ, bất kỳ thông tin đăng nhập người dùng mới nào được thêm vào một bảng có thể ngay lập tức được gửi đến một máy chủ bên ngoài mà không cần tương tác thêm. Điều này biến cơ sở dữ liệu thành một điểm rò rỉ dữ liệu liên tục.
Từ góc độ phòng thủ, những diễn biến này thách thức các giả định bảo mật truyền thống. Theo lịch sử, lưu lượng truy cập web đi ra từ một máy chủ cơ sở dữ liệu thường bị coi là đáng ngờ. Với SQL Server 2025 chuẩn hóa giao tiếp HTTPS cho các khối lượng công việc AI, việc phân biệt giữa hoạt động hợp pháp và độc hại trở nên khó khăn hơn đáng kể. Các chuyên gia bảo mật nhấn mạnh đây là một mối đe dọa mạng mới cần được quan tâm.
Khuyến nghị Phòng ngừa và Giảm thiểu Rủi ro
SpecterOps khuyến nghị thực thi các biện pháp kiểm soát chặt chẽ đối với các đặc quyền của cơ sở dữ liệu, đặc biệt là các tài khoản sysadmin. Cần giám sát chặt chẽ các tính năng như các điểm cuối REST bên ngoài và tích hợp mô hình AI để phát hiện sự lạm dụng tiềm ẩn.
Kiểm soát Truy cập và Giám sát
Việc phân tích các truy vấn và kết nối bất thường, đặc biệt là các yêu cầu gửi dữ liệu ra ngoài qua HTTPS hoặc các lệnh gọi AI không giải thích được, là rất quan trọng. Việc kiểm soát chặt chẽ quyền hạn của người dùng và ứng dụng truy cập vào cơ sở dữ liệu cũng giúp hạn chế bề mặt tấn công.
Kiểm soát Mạng và Giám sát Lưu lượng
Các biện pháp kiểm soát cấp mạng, chẳng hạn như hạn chế các kết nối đi ra từ máy chủ cơ sở dữ liệu, cũng có thể giúp giảm thiểu rủi ro. Ngoài ra, các tổ chức cần thiết lập các mẫu lưu lượng liên quan đến AI bình thường để phát hiện các điểm bất thường một cách hiệu quả. Theo dõi các IOC (Indicators of Compromise) liên quan đến các kỹ thuật này là một phần không thể thiếu của chiến lược phòng thủ.
Các khả năng AI đang tiếp tục được nhúng vào phần mềm doanh nghiệp, và trường hợp này nhấn mạnh xu hướng ngày càng tăng, nơi các tính năng hợp pháp có thể bị biến thành vũ khí. SQL Server 2025 minh chứng cách sự đổi mới mà không có các biện pháp kiểm soát bảo mật tương ứng có thể mở rộng bề mặt tấn công, buộc các đơn vị phòng thủ phải nhanh chóng thích ứng với một bối cảnh mối đe dọa đang phát triển.
Tham khảo thêm thông tin chi tiết về các phát hiện và mã khai thác PoC tại GitHub.
