Descoberta e escopo da ameaça
Investigadores de segurança da SpecterOps revelaram uma nova frente de ataque que explora as capacidades de inteligência artificial nativas do Microsoft SQL Server 2025. A pesquisa demonstra que recursos legítimos, projetados para suportar cargas de trabalho modernas como Retrieval-Augmented Generation (RAG), podem ser reutilizados por atacantes para exfiltração furtiva de dados e comunicação de comando e controle (C2) diretamente dentro do motor do banco de dados.
Esta descoberta representa uma mudança significativa no panorama de segurança de bancos de dados, pois normaliza o tráfego HTTPS originado do motor do banco de dados, dificultando a distinção entre atividade legítima e maliciosa por ferramentas de monitoramento tradicionais.
Funcionalidades exploradas e vetores de ataque
Uma das adições mais críticas é o procedimento armazenado sp_invoke_external_rest_endpoint. Esta função permite que o SQL Server envie solicitações HTTPS para endpoints externos diretamente, sem depender de métodos tradicionais como xp_cmdshell ou PowerShell. Embora projetada para comunicação de API legítima, ela efetivamente permite que atacantes exfiltrem dados sensíveis sobre canais criptografados.
O recurso suporta payloads de até 100 MB, tornando-o altamente eficiente para transferir grandes conjuntos de dados, como credenciais de usuários ou registros de banco de dados. Em um cenário de ataque demonstrado, uma instância do SQL Server comprometida com privilégios de sysadmin pode consultar tabelas sensíveis, converter os dados para JSON e transmiti-los para um servidor controlado pelo atacante usando este procedimento.
Outra funcionalidade importante, CREATE EXTERNAL MODEL, permite que o SQL Server se integre a modelos de IA externos. Isso é complementado por AI_GENERATE_EMBEDDINGS, que envia dados para esses modelos e recebe respostas estruturadas. Pesquisadores mostraram que essas funções podem ser abusadas para estabelecer canais de comunicação secretos.
Atacantes podem codificar comandos e respostas dentro de dados de incorporação de IA, tornando o tráfego legítimo e difícil de detectar. Essa capacidade permite uma nova forma de infraestrutura de C2 operando inteiramente dentro de consultas SQL.
Implicações para a segurança corporativa
Do ponto de vista defensivo, esses desenvolvimentos desafiam as suposições de segurança tradicionais. Historicamente, o tráfego web de saída de um servidor de banco de dados era considerado suspeito. Com o SQL Server 2025 normalizando a comunicação HTTPS para cargas de trabalho de IA, distinguir entre atividade legítima e maliciosa torna-se significativamente mais difícil.
A persistência é outra preocupação. Atacantes podem criar gatilhos de banco de dados que exfiltram automaticamente dados novos ou atualizados. Por exemplo, qualquer nova credencial de usuário adicionada a uma tabela pode ser enviada imediatamente para um servidor externo sem interação adicional. Isso transforma o banco de dados em um ponto contínuo de vazamento de dados.
A pesquisa também destaca uma técnica envolvendo caminhos UNC em configurações de modelos de IA, que pode desencadear tentativas de autenticação NTLM sobre SMB. Isso permite que atacantes capturem ou retransmitam hashes de autenticação dentro de uma rede. Embora relatado à Microsoft, esse comportamento não foi classificado como uma vulnerabilidade de segurança, o que significa que permanece explorável em implantações atuais.
Medidas de mitigação recomendadas
A SpecterOps recomenda impor controles rigorosos sobre privilégios de banco de dados, particularmente contas de sysadmin, e monitorar de perto recursos como endpoints REST externos e integrações de modelos de IA para abuso potencial.
Controles de nível de rede, como restringir conexões de saída de servidores de banco de dados, também podem ajudar a mitigar o risco. Além disso, as organizações devem estabelecer uma linha de base de padrões de tráfego relacionados à IA normais para detectar anomalias efetivamente.
Como as capacidades de IA continuam sendo incorporadas em software empresarial, este caso destaca uma tendência crescente na qual recursos legítimos podem ser armados. O SQL Server 2025 demonstra como a inovação sem controles de segurança correspondentes pode expandir a superfície de ataque, forçando defensores a se adaptarem rapidamente a um cenário de ameaças em evolução.
O que os CISOs devem fazer imediatamente
1. Auditar o uso de procedimentos armazenados de IA no SQL Server 2025. 2. Implementar regras de firewall estritas para tráfego de saída de servidores de banco de dados. 3. Monitorar logs de execução de procedimentos armazenados para padrões anômalos. 4. Revisar permissões de sysadmin e aplicar o princípio do menor privilégio. 5. Considerar a desativação de recursos de IA não essenciais até que controles de segurança adequados sejam implementados.