A third-party researcher identified a Cloud SQL for SQL Server
vulnerability, and the instance they triggered this vulnerability on
was automatically detected by Google Cloud through a security alert.
Após a detecção, o Google Cloud entrou em contato com o pesquisador, que informou o problema por meio do programa VRP do Google Cloud.
O Google Cloud resolveu o problema corrigindo a vulnerabilidade de segurança
até 1o de março de 2023. O Google Cloud não encontrou instâncias de cliente comprometidas.
O que devo fazer?
Nenhuma outra ação é necessária para nenhum cliente.
O Cloud SQL para SQL Server foi atualizado para corrigir essa vulnerabilidade, e
a correção foi implementada em todas as instâncias em março de 2023. Você não precisa fazer nada.
Quais vulnerabilidades estão sendo resolvidas?
A vulnerabilidade permitiu que contas de administrador de clientes criassem gatilhos no banco de dados tempdb e os usassem para receber privilégios sysadmin na instância. Os privilégios sysadmin concederiam ao invasor acesso aos bancos de dados do sistema e acesso parcial à máquina que executa essa instância do SQL Server.
Como o ataque requer acesso a uma conta de administrador de cliente, essa vulnerabilidade não expôs nenhum dado de cliente ao qual o invasor ainda não tinha acesso. Além disso, essa vulnerabilidade não deu ao invasor acesso a outras instâncias do Cloud SQL para SQL Server.
Este problema não foi um incidente de segurança e nenhum dado foi comprometido.