Microsoft Threat Intelligence виявила понад 3000 ASP.NET ключів, які були опубліковані у документації коду та репозиторіях, і які можуть бути використані для атак шляхом впровадження коду. Про це повідомляє Info World.
У грудні Microsoft Threat Intelligence зафіксувала діяльність зловмисника, який використав доступний ASP.NET machine key для впровадження шкідливого коду та завантаження фреймворку Godzilla post-exploitation, веб shell, що використовується для виконання команд і маніпулювання файлами на цільовому сервері. Після цього компанія ідентифікувала понад 3000 публічно опублікованих ASP.NET machine keys, які можуть бути використані в атаках типу ViewState code injection.
У відповідь Microsoft Threat Intelligence застерігає організації не копіювати ключі з публічно доступних джерел і радить регулярно оновлювати ключі. У бюлетені від 6 лютого Threat Intelligence зазначив, що під час розслідування та захисту від таких атак було виявлено небезпечну практику: розробники використовували публічно доступні ASP.NET machine keys із документації, репозиторіїв та інших публічних джерел, які потім використовували зловмисники для виконання шкідливих дій на цільових серверах.
На відміну від раніше відомих атак із використанням скомпрометованих чи вкрадених ключів, які продавалися на форумах dark web, ці публічно доступні ключі можуть становити ще більший ризик, оскільки вони доступні в численних репозиторіях коду і могли бути помилково включені у робочий код без змін. Обмежена шкідлива активність, яку Microsoft зафіксувала у грудні, включала використання одного публічно опублікованого ключа для впровадження шкідливого коду.
ViewState — це метод, за допомогою якого ASP.NET web forms зберігають стан сторінки та керування між постбеками. Дані ViewState зберігаються у прихованому полі на сторінці та кодуються. Щоб захистити ViewState від змін і розкриття, ASP.NET використовує machine keys.
«Якщо ці ключі будуть вкрадені або доступними для зловмисників, вони зможуть створити шкідливий ViewState з використанням викрадених ключів і відправити його на сайт через POST-запит», — зазначає Microsoft Threat Intelligence у бюлетені.
«Коли запит обробляється ASP.NET Runtime на цільовому сервері, ViewState розшифровується та перевіряється успішно, оскільки використовуються правильні ключі. Шкідливий код завантажується в пам’ять процесу-робітника і виконується, що дає зловмиснику можливості віддаленого виконання коду на сервері IIS», — додає Microsoft Threat Intelligence.
Раніше ми повідомляли, що Microsoft оголосила про надання ІТ-фахівцям більшої кількості опцій для початкового встановлення Windows 11 на нових пристроях.
Читайте також на ProIT: Microsoft припиняє роботу над військовою AR-гарнітурою та передає контракт Anduril.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
