Η Microsoft έχει αποκαλύψει μια κρίσιμη ευπάθεια zero-day στον SQL Server που επιτρέπει στους επιβεβαιωμένους εισβολείς να κλιμακώσουν τα προνόμιά τους στο υψηλότερο επίπεδο διαχείρισης σε συστήματα βάσεων δεδομένων που επηρεάζονται.
Παρακολούθηση ως CVE-2026-21262, το ελάττωμα κυκλοφόρησε επίσημα στις 10 Μαρτίου 2026 και έχει ήδη αποκαλυφθεί δημόσια, εγείροντας επείγουσες ανησυχίες για οργανισμούς που εκτελούν SQL Server σε εταιρικά περιβάλλοντα.
Η ευπάθεια προέρχεται από ακατάλληλο έλεγχο πρόσβασης (CWE-284) στον Microsoft SQL Server, που επιτρέπει σε έναν εξουσιοδοτημένο εισβολέα να αυξήσει τα προνόμια ενός δικτύου.
Σύμφωνα με τις συμβουλές της Microsoft, ένας παράγοντας απειλής που εκμεταλλεύεται επιτυχώς αυτό το ελάττωμα θα μπορούσε να αποκτήσει δικαιώματα SQL sysadmin, το υψηλότερο επίπεδο πρόσβασης σε περιβάλλον SQL Server, αποκτώντας έτσι τον πλήρη έλεγχο της παρουσίας της βάσης δεδομένων.
Το ελάττωμα φέρει μια βασική βαθμολογία CVSS v3.1 8,8, ταξινομημένη ως Σημαντική σοβαρότητα. Το διάνυσμα επίθεσης βασίζεται σε δίκτυο με χαμηλή πολυπλοκότητα, απαιτεί μόνο προνόμια χαμηλού επιπέδου για την εκκίνηση και δεν απαιτεί αλληλεπίδραση με τον χρήστη.
Ο αντίκτυπος εκτείνεται και στις τρεις κρίσιμες διαστάσεις ασφαλείας: εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα, όλα χαρακτηρίζονται Υψηλή, καθιστώντας αυτήν την ευπάθεια ιδιαίτερα επικίνδυνη σε περιβάλλοντα ευαίσθητα στα δεδομένα.
Ευπάθεια Microsoft SQL Server Zero-Day
Η Microsoft επιβεβαίωσε ότι η ευπάθεια έχει αποκαλυφθεί δημόσια, αλλά δεν έχει ακόμη αξιοποιηθεί ενεργά στη φύση, με την εκμεταλλευσιμότητα να εκτιμάται ως “Εκτέλεση Λιγότερο Πιθανή”. Ωστόσο, το καθεστώς δημόσιας γνωστοποίησης μειώνει σημαντικά το εμπόδιο για τους φορείς απειλής να αναπτύξουν εργασιακά πλεονεκτήματα.
Ένας επιβεβαιωμένος εισβολέας με ρητές άδειες μπορεί να εκμεταλλευτεί την ευπάθεια συνδέοντας την παρουσία του SQL Server και αξιοποιώντας το ακατάλληλο ελάττωμα ελέγχου πρόσβασης για να κλιμακώσει τη συνεδρία του στο επίπεδο sysadmin.
Αυτός ο τύπος επίθεσης κλιμάκωσης προνομίων είναι ιδιαίτερα επικίνδυνος σε περιβάλλοντα βάσης δεδομένων πολλών ενοικιαστών ή κοινής χρήσης, όπου οι χρήστες με χαμηλά προνόμια ενδέχεται να έχουν ήδη νόμιμη πρόσβαση.
Η Microsoft έχει κυκλοφορήσει ενημερώσεις ασφαλείας που καλύπτουν τον SQL Server 2016 μέσω του SQL Server 2025 που μόλις κυκλοφόρησε. Οι διαχειριστές θα πρέπει να προσδιορίσουν την τρέχουσα έκδοσή τους και να εφαρμόσουν την κατάλληλη ενημερωμένη έκδοση κώδικα GDR ή Αθροιστική ενημέρωση (CU) αναλόγως. Οι βασικές ενημερώσεις περιλαμβάνουν:
- SQL Server 2025: Ενημερώσεις KB 5077466 (CU2+GDR) και 5077468 (RTM+GDR)
- SQL Server 2022: Ενημερώσεις KB 5077464 (CU23+GDR) και 5077465 (RTM+GDR)
- SQL Server 2019: Ενημερώσεις KB 5077469 (CU32+GDR) και 5077470 (RTM+GDR)
- SQL Server 2017: Ενημερώσεις KB 5077471 και 5077472
- SQL Server 2016: Ενημερώσεις KB 5077473 και 5077474
Οι παρουσίες του SQL Server που φιλοξενούνται στο Windows Azure (IaaS) μπορούν να λαμβάνουν ενημερώσεις μέσω του Microsoft Update ή μέσω μη αυτόματης λήψης από το Κέντρο λήψης της Microsoft.
Οι ομάδες ασφαλείας θα πρέπει να δώσουν προτεραιότητα στην άμεση ενημέρωση κώδικα, δεδομένης της κατάστασης δημόσιας αποκάλυψης αυτής της ευπάθειας. Οι οργανισμοί θα πρέπει να ελέγχουν τα δικαιώματα χρήστη του SQL Server, να περιορίζουν τα ρητά δικαιώματα μόνο σε αξιόπιστους λογαριασμούς και να παρακολουθούν για ανώμαλη δραστηριότητα κλιμάκωσης προνομίων στα αρχεία καταγραφής της βάσης δεδομένων.
Οι εκδόσεις που δεν υποστηρίζονται πλέον από τη Microsoft θα πρέπει να αναβαθμιστούν σε μια υποστηριζόμενη έκδοση για να λάβετε αυτήν και μελλοντικές ενημερώσεις κώδικα ασφαλείας.
