- 19,463
- 40
- 8 Ноя 2022
Беспечность разработчиков дает удаленный контроль через ViewState.
Microsoft Для просмотра ссылки Войдиили Зарегистрируйся новую тактику кибератак, при которой злоумышленники используют Для просмотра ссылки Войди или Зарегистрируйся в механизме ViewState для внедрения вредоносного кода. Проблема связана с разработчиками, использующими статические ключи ASP.NET Machine Keys , найденные в открытых источниках, таких как документация по коду и репозитории.
Machine Keys предназначены для защиты ViewState от подделки и утечек данных. Однако хакеры находят публично доступные ключи и используют их для создания вредоносных ViewState, содержащих специально подготовленный код аутентификации сообщений (Message Authentication Code, MAC). При обработке таких ViewState IIS -сервер загружает их в память рабочего процесса и выполняет, что позволяет атакующим исполнять код удаленно и загружать дополнительное вредоносное ПО.
В декабре 2024 года неизвестный киберпреступник использовал один из таких публичных ключей для внедрения инструмента Godzilla, предназначенного для постэксплуатации, выполнения команд и инъекции shell-кода на сервере IIS.
Цепочка атаки с внедрением кода ViewState Для просмотра ссылки Войдиили Зарегистрируйся
Microsoft выявила более 3000 публично доступных machine keys, которые могут быть использованы для подобных атак. В отличие от ранее известных атак с подделкой ViewState, где использовались украденные ключи, продаваемые в даркнете, новая Для просмотра ссылки Войдиили Зарегистрируйся опаснее: ключи находятся в открытых репозиториях и могут быть случайно включены в разработку без проверки.
Чтобы минимизировать риски, Microsoft рекомендует разработчикам генерировать machine keys безопасно, избегать использования ключей из открытых источников, шифровать machineKey и connectionStrings в конфигурации, обновлять приложения до ASP.NET 4.8 для включения Antimalware Scan Interface (AMSI) и применять защитные меры на серверах Windows, включая Для просмотра ссылки Войдиили Зарегистрируйся .
Дополнительно Microsoft представила инструкции по удалению или замене уязвимых ключей через PowerShell и консоль IIS, а также удалила примеры таких ключей из своей документации, чтобы предотвратить их использование.
В случае успешной эксплуатации атакующими просто ротация ключей может быть недостаточной. Microsoft настоятельно рекомендует полное расследование Для просмотра ссылки Войдиили Зарегистрируйся , а для интернет-ориентированных серверов — форматирование и переустановку в автономной среде, поскольку такие системы находятся в группе наибольшего риска.
Microsoft Для просмотра ссылки Войди
Machine Keys предназначены для защиты ViewState от подделки и утечек данных. Однако хакеры находят публично доступные ключи и используют их для создания вредоносных ViewState, содержащих специально подготовленный код аутентификации сообщений (Message Authentication Code, MAC). При обработке таких ViewState IIS -сервер загружает их в память рабочего процесса и выполняет, что позволяет атакующим исполнять код удаленно и загружать дополнительное вредоносное ПО.
В декабре 2024 года неизвестный киберпреступник использовал один из таких публичных ключей для внедрения инструмента Godzilla, предназначенного для постэксплуатации, выполнения команд и инъекции shell-кода на сервере IIS.
Цепочка атаки с внедрением кода ViewState Для просмотра ссылки Войди
Microsoft выявила более 3000 публично доступных machine keys, которые могут быть использованы для подобных атак. В отличие от ранее известных атак с подделкой ViewState, где использовались украденные ключи, продаваемые в даркнете, новая Для просмотра ссылки Войди
Чтобы минимизировать риски, Microsoft рекомендует разработчикам генерировать machine keys безопасно, избегать использования ключей из открытых источников, шифровать machineKey и connectionStrings в конфигурации, обновлять приложения до ASP.NET 4.8 для включения Antimalware Scan Interface (AMSI) и применять защитные меры на серверах Windows, включая Для просмотра ссылки Войди
Дополнительно Microsoft представила инструкции по удалению или замене уязвимых ключей через PowerShell и консоль IIS, а также удалила примеры таких ключей из своей документации, чтобы предотвратить их использование.
В случае успешной эксплуатации атакующими просто ротация ключей может быть недостаточной. Microsoft настоятельно рекомендует полное расследование Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
