As novas capacidades de intelixencia artificial en SQL Server 2025 poderían facilitar a exfiltración de datos e o abuso de funcionalidades lexítimas

Investigadores de seguridade advertiron sobre os riscos asociados a determinadas funcionalidades de intelixencia artificial incorporadas en Microsoft SQL Server 2025, que poderían ser utilizadas por atacantes para realizar exfiltración de información, establecer canles encubertas de comunicación ou manter persistencia dentro de contornas comprometidas.

A investigación, publicada por SpecterOps, pon de manifesto como algunhas das novas capacidades deseñadas para facilitar a integración de modelos de intelixencia artificial e servizos externos poden converterse en ferramentas útiles para actividades maliciosas unha vez que un atacante obtén acceso privilexiado ao servidor de bases de datos.

Aínda que Microsoft non considera estes comportamentos unha vulnerabilidade de seguridade, os investigadores destacan que estas capacidades amplían a superficie de ataque dispoñible e expoñen novos retos para a detección e monitorización de actividades sospeitosas.

SQL Server 2025 incorpora novas funcionalidades orientadas a facilitar cargas de traballo baseadas en intelixencia artificial, incluíndo integración con modelos externos, xeración de embeddings e comunicación nativa mediante servizos web.

Entre as características analizadas destaca o procedemento almacenado sp_invoke_external_rest_endpoint, que permite realizar peticións HTTPS directamente desde o motor de base de datos sen necesidade de empregar ferramentas externas como PowerShell ou xp_cmdshell.

Segundo os investigadores, un atacante que dispoña de privilexios elevados podería utilizar esta funcionalidade para consultar información sensible almacenada en bases de datos e transmitila a servidores externos mediante tráfico HTTPS aparentemente lexítimo.

A investigación tamén analiza as capacidades asociadas á integración de modelos externos de intelixencia artificial mediante funcionalidades como CREATE EXTERNAL MODEL e AI_GENERATE_EMBEDDINGS, que poderían ser utilizadas para intercambiar información con sistemas controlados por atacantes, establecendo canles de comunicación difíciles de identificar mediante mecanismos tradicionais de monitorización.

Escenarios de risco identificados

Os investigadores describen distintos escenarios potenciais de abuso:

• Exfiltración de información sensible mediante conexións HTTPS iniciadas desde SQL Server.
• Creación de canles de mando e control encubertas utilizando funcionalidades de intelixencia artificial.
• Persistencia mediante desencadeadores (triggers) capaces de enviar automaticamente nova información a sistemas externos.
• Carga de ensamblados .NET en memoria para ampliar capacidades de postexplotación.
• Obtención ou retransmisión de credenciais mediante configuracións específicas asociadas a rutas UNC e autenticación NTLM.

Aínda que estas actividades requiren acceso previo á contorna e privilexios elevados, a súa detección pode resultar máis complexa debido a que empregan funcionalidades lexítimas integradas na propia plataforma.

Produtos afectados

• Microsoft SQL Server 2025.
• Contornas que empreguen funcionalidades de integración con servizos externos.
• Implementacións que utilicen capacidades de intelixencia artificial nativas do produto.
• Sistemas con privilexios excesivos asignados a contas administrativas ou de servizo.

Impacto potencial

A explotación destas capacidades podería permitir:

• Exfiltración de información sensible.
• Establecemento de canles de comunicación encubertas.
• Persistencia dentro de contornas comprometidas.
• Acceso continuado a información corporativa.
• Dificultar a detección de actividades maliciosas.
• Ampliación das capacidades de postexplotación.
• Incremento da superficie de ataque asociada ás plataformas de bases de datos.

O risco resulta especialmente relevante en contornas onde os servidores de bases de datos almacenan información crítica ou dispoñen de conectividade cara a redes internas e sistemas corporativos sensibles.

Técnicas MITRE ATT&CK potencialmente asociadas

Os escenarios descritos presentan relación con diversas técnicas recollidas no marco MITRE ATT&CK:

Estas técnicas reflicten como funcionalidades lexítimas poden ser utilizadas para ocultar actividades maliciosas dentro de fluxos de traballo aparentemente normais.

Recomendacións

Recoméndase ás organizacións:

• Revisar os privilexios asignados ás contas administrativas e de servizo en SQL Server.
• Aplicar o principio de mínimo privilexio na administración das bases de datos.
• Auditar o uso de procedementos relacionados con conexións externas.
• Monitorizar as chamadas a servizos web realizadas desde servidores SQL.
• Restringir as comunicacións saíntes desde os servidores de bases de datos cando non sexan necesarias.
• Revisar as configuracións relacionadas con modelos externos de intelixencia artificial.
• Establecer liñas base de comportamento para identificar patróns anómalos.
• Supervisar a creación de procedementos almacenados, ensamblados CLR e desencadeadores.
• Incorporar estas novas capacidades dentro dos procesos de xestión de riscos e revisión da arquitectura tecnolóxica.

A investigación publicada sobre SQL Server 2025 pon de manifesto unha tendencia cada vez máis relevante no ámbito da ciberseguridade: funcionalidades deseñadas para mellorar a produtividade e facilitar a integración da intelixencia artificial poden converterse en novas superficies de ataque se non van acompañadas de controis adecuados.

Máis alá das vulnerabilidades tradicionais, as organizacións deberán prestar unha atención crecente ao uso indebido de capacidades lexítimas integradas nas plataformas tecnolóxicas. A correcta gobernanza destas funcionalidades, xunto cunha supervisión adecuada dos privilexios, das comunicacións e das actividades asociadas á intelixencia artificial, será clave para reducir a exposición fronte ás ameazas emerxentes.

Referencias

• SpecterOps
• Microsoft SQL Server 2025
• MITRE ATT&CK