Las nuevas capacidades de inteligencia artificial en SQL Server 2025 podrían facilitar la exfiltración de datos y el abuso de funcionalidades legítima

Investigadores de seguridad han advertido sobre los riesgos asociados a determinadas funcionalidades de inteligencia artificial incorporadas en Microsoft SQL Server 2025, que podrían ser utilizadas por atacantes para realizar exfiltración de información, establecer canales encubiertos de comunicación o mantener persistencia dentro de entornos comprometidos.

La investigación, publicada por SpecterOps, pone de manifiesto cómo algunas de las nuevas capacidades diseñadas para facilitar la integración de modelos de inteligencia artificial y servicios externos pueden convertirse en herramientas útiles para actividades maliciosas una vez que un atacante obtiene acceso privilegiado al servidor de bases de datos.

Aunque Microsoft no considera estos comportamientos una vulnerabilidad de seguridad, los investigadores destacan que estas capacidades amplían la superficie de ataque disponible y plantean nuevos retos para la detección y monitorización de actividades sospechosas.

SQL Server 2025 incorpora nuevas funcionalidades orientadas a facilitar cargas de trabajo basadas en inteligencia artificial, incluyendo integración con modelos externos, generación de embeddings y comunicación nativa mediante servicios web.

Entre las características analizadas destaca el procedimiento almacenado sp_invoke_external_rest_endpoint, que permite realizar peticiones HTTPS directamente desde el motor de base de datos sin necesidad de utilizar herramientas externas como PowerShell o xp_cmdshell.

Según los investigadores, un atacante que disponga de privilegios elevados podría utilizar esta funcionalidad para consultar información sensible almacenada en bases de datos y transmitirla a servidores externos mediante tráfico HTTPS aparentemente legítimo.

La investigación también analiza las capacidades asociadas a la integración de modelos externos de inteligencia artificial mediante funcionalidades como CREATE EXTERNAL MODEL y AI_GENERATE_EMBEDDINGS, que podrían ser utilizadas para intercambiar información con sistemas controlados por atacantes, estableciendo canales de comunicación difíciles de identificar mediante mecanismos tradicionales de monitorización.

Escenarios de riesgo identificados

Los investigadores describen distintos escenarios potenciales de abuso:

• Exfiltración de información sensible mediante conexiones HTTPS iniciadas desde SQL Server.
• Creación de canales de mando y control encubiertos utilizando funcionalidades de inteligencia artificial.
• Persistencia mediante desencadenadores (triggers) capaces de enviar automáticamente nueva información a sistemas externos.
• Carga de ensamblados .NET en memoria para ampliar capacidades de postexplotación.
• Obtención o retransmisión de credenciales mediante configuraciones específicas asociadas a rutas UNC y autenticación NTLM.

Aunque estas actividades requieren acceso previo al entorno y privilegios elevados, su detección puede resultar más compleja debido a que utilizan funcionalidades legítimas integradas en la propia plataforma.

Productos afectados

• Microsoft SQL Server 2025.
• Entornos que utilicen funcionalidades de integración con servicios externos.
• Implementaciones que empleen capacidades de inteligencia artificial nativas del producto.
• Sistemas con privilegios excesivos asignados a cuentas administrativas o de servicio.

Impacto potencial

La explotación de estas capacidades podría permitir:

• Exfiltración de información sensible.
• Establecimiento de canales de comunicación encubiertos.
• Persistencia dentro de entornos comprometidos.
• Acceso continuado a información corporativa.
• Dificultar la detección de actividades maliciosas.
• Ampliación de las capacidades de postexplotación.
• Incremento de la superficie de ataque asociada a plataformas de bases de datos.

El riesgo es especialmente relevante en entornos donde los servidores de bases de datos almacenan información crítica o disponen de conectividad hacia redes internas y sistemas corporativos sensibles.

Técnicas MITRE ATT&CK potencialmente asociadas

Los escenarios descritos presentan relación con diversas técnicas recogidas en el marco MITRE ATT&CK:

Estas técnicas reflejan cómo funcionalidades legítimas pueden ser utilizadas para ocultar actividades maliciosas dentro de flujos de trabajo aparentemente normales.

Recomendaciones

Se recomienda a las organizaciones:

• Revisar los privilegios asignados a cuentas administrativas y de servicio en SQL Server.
• Aplicar el principio de mínimo privilegio en la gestión de bases de datos.
• Auditar el uso de procedimientos relacionados con conexiones externas.
• Monitorizar llamadas a servicios web realizadas desde servidores SQL.
• Restringir las comunicaciones salientes desde servidores de bases de datos cuando no sean necesarias.
• Revisar configuraciones relacionadas con modelos externos de inteligencia artificial.
• Establecer líneas base de comportamiento para identificar patrones anómalos.
• Supervisar la creación de procedimientos almacenados, ensamblados CLR y desencadenadores.
• Incorporar estas nuevas capacidades dentro de los procesos de gestión de riesgos y revisión de arquitectura.

La investigación publicada sobre SQL Server 2025 pone de manifiesto una tendencia cada vez más relevante en el ámbito de la ciberseguridad: funcionalidades diseñadas para mejorar la productividad y facilitar la integración de inteligencia artificial pueden convertirse en nuevas superficies de ataque si no se acompañan de controles adecuados.

Más allá de las vulnerabilidades tradicionales, las organizaciones deberán prestar una atención creciente al uso indebido de capacidades legítimas integradas en las plataformas tecnológicas. La correcta gobernanza de estas funcionalidades, junto con una supervisión adecuada de privilegios, comunicaciones y actividades asociadas a la inteligencia artificial, será clave para reducir la exposición frente a amenazas emergentes.

Referencias

• SpecterOps
• Microsoft SQL Server 2025
• MITRE ATT&CK