„Microsoft“ perspėja, kad užpuolikai diegia kenkėjišką programą „ViewState“ kodo injekcijos atakose, naudodamiesi statiška ASP. Tinkle rasti tinklai, rasti internete.
Kaip neseniai atrado „Microsoft Great Intelligence Experts“, kai kurie kūrėjai naudoja „ASP.NET VALSTATIONKEKKEY“ ir „DecryptionKey“ klavišus (skirtus apsaugoti „ViewState“ nuo klastojimo ir informacijos atskleidimo), rastos savo programinės įrangos kodų dokumentacijose ir saugyklos platformose.
Tačiau grėsmės aktoriai taip pat naudoja kompiuterių raktus iš viešai prieinamų šaltinių kodo injekcijos atakose, kad sukurtų kenksmingus vaizdo įrašus (naudojamus ASP.NET žiniatinklio formas, kad kontroliuotų būseną ir išsaugotų puslapius), pritvirtindami parengto pranešimo autentifikavimo kodą (MAC).
Įkeliant „ViewStes“ atsiųstus per „Post“ užklausas, tiksliniame serverio „ASP.NET“ vykdymo laikas iššifruoja ir patvirtina užpuolikų kenksmingai sukurtus „ViewState“ duomenis, nes jis naudoja tinkamus raktus, įkelia jį į darbuotojo proceso atmintį ir juos vykdo.
Tai leidžia jiems nuotoliniu būdu vykdyti kodą IIS serveryje ir diegti papildomus kenksmingus naudingus krovinius.
Vienu atveju, stebėtą 2024 m. Gruodžio mėn., Neįvardytas užpuolikas naudojo viešai žinomą mašinos raktą, norėdamas pristatyti „Godzilla“ eksploatavimo sistemą, kuri yra su kenkėjiškomis komandų vykdymo ir „ShellCode“ įpurškimo galimybėmis, į tikslinę interneto informacijos paslaugų (IIS) žiniatinklio serverį.

„Nuo to laiko„ Microsoft “nustatė daugiau nei 3000 viešai atskleistų raktų, kurie galėtų būti naudojami tokio tipo išpuoliams, kurie vadinami„ ViewState “kodo injekcijų atakomis“, – ketvirtadienį sakė bendrovė.
„Nors daugelis anksčiau žinomų„ ViewState “kodo injekcijų atakų buvo naudojamos kompromituojami ar pavogti klavišai, kurie dažnai parduodami tamsiame žiniatinklio forumuose, šie viešai atskleisti raktai gali kelti didesnę riziką, nes jie yra prieinami keliose kodo saugyklose ir galėjo būti nukreipti į kūrimo kodą be modifikavimo. “.
Norėdami užblokuoti tokius išpuolius, „Microsoft“ rekomenduoja kūrėjams saugiai generuoti mašinų klavišus, o ne naudokite numatytuosius klavišus ar klavišus, rastus internete, užšifruoti „MachineKey“ ir „ConnectionStrings“ elementus, kad blokuotumėte prieigą prie paprastų tekstų paslapčių, atnaujinkite programas, kad galėtumėte naudoti ASP.NET 4.8, kad būtų galima įjungti antimalware nuskaitymo sąsają (AMSI). Galimybės ir sukietėja „Windows“ serveriai, naudodamiesi „Attack Surface“ redukcijos taisyklėmis, tokiomis kaip „Block Webshell Creation“ serveriams.
„Microsoft“ taip pat pasidalino išsamiais veiksmais, kaip pašalinti ar pakeisti ASP.NET klavišus „Web.config“ konfigūracijos faile, naudojant „PowerShell“ arba „IIS Manager“ konsolę, ir iš viešųjų dokumentų pašalino raktus, kad dar labiau atgrasytų nuo šios nesaugios praktikos.
„Jei įvyko sėkmingas viešai atskleistų raktų išnaudojimas, besisukantys mašinos raktai nepakankamai spręs galimas galinių duris ar atkaklumo metodus, kuriuos nustato grėsmės veikėjas ar kita veikla po eksponavimo, ir gali būti pateisinamas papildomas tyrimas“,-perspėjo Redmondas.
„Visų pirma, žiniatinklio serveriai turėtų būti išsamiai ištirti ir griežtai atsižvelgti į pakartotinį formatavimą ir iš naujo įdiegti neprisijungus laikmeną tais atvejais, kai buvo nustatyti viešai atskleisti raktai, nes šiems serveriams labiausiai gresia galimas išnaudojimas”.