КиберСек

Новости Кибербезопасности

Метка: ViewState

  • ViewState: новая цель для хакеров в ASP.NET

    ViewState: новая цель для хакеров в ASP.NET

    Компания Microsoft предупредила разработчиков о рисках использования публично доступных ключей ASP.NET. Эти ключи могут сделать их приложения уязвимыми для атак. Злоумышленники могут использовать такие ключи для доставки вредоносного фреймворка под названием Godzilla.

    В декабре 2024 года исследователи Microsoft обнаружили хакерскую группу, которая использовала публичный статический ключ ASP.NET для внедрения вредоносного кода через механизм ViewState. Это позволяет им внедрять вредоносный код в веб-приложения, обходя их защиту. Было обнаружено более 3000 таких публичных ключей, которые могут быть использованы для таких атак.

    Раньше атаки ViewState предполагали использование украденных или проданных ключей. Но новая угроза более опасна, так как ключи стали доступны публично и могут быть случайно использованы разработчиками без должной проверки.

    Для защиты от этой угрозы Microsoft рекомендует избегать использования ключей из открытых источников, регулярно менять и проверять их на соответствие опубликованным хешам. В некоторых случаях компания даже удалила подобные ключи из своей документации.

  • Ключи ASP.NET стали инструментом для вредоносных атак

    Ключи ASP.NET стали инструментом для вредоносных атак

    В конце прошлого года специалисты из компании Microsoft обнаружили серию атак, при которых злоумышленники использовали статические ключи ASP.NET для инъекции кода. В одном случае им удалось внедрить инструмент постэксплуатации Godzilla на сервер IIS.

    Удивительно, что ключи validationKey и decryptionKey, которые защищают данные ViewState от изменений и утечки, не были украдены или куплены в интернете. Их можно легко найти онлайн, и исследователи нашли более 3 тыс. таких случаев.

    Обычно ключи ASP.NET генерируются на месте и хранятся в реестре или указываются в конфигурационных файлах. Однако некоторые разработчики веб-приложений используют готовые ключи из открытых источников, не меняя их.

    Это делает задачу злоумышленникам гораздо проще. Если у них есть ключи для ViewState, они могут успешно отправить вредоносный запрос на сервер, и вредоносный код будет выполнен.

    Эксперты рекомендуют разработчикам использовать уникальные и защищенные ключи, а не публиковать их в открытых источниках. Это может предоставить злоумышленникам несанкционированный доступ к системе.

    Подобные атаки уже были проведены несколько лет назад на серверы Microsoft Exchange. Злоумышленники использовали ошибку в разработке, когда все серверы Exchange использовали одни и те же ключи, указанные в web.config.

  • ViewState — новое оружие для атак на серверы

    ViewState — новое оружие для атак на серверы

    Компания Microsoft обнаружила новый способ кибератак, при котором злоумышленники используют уязвимость в механизме ViewState для внедрения вредоносного кода. Проблема связана с разработчиками, которые используют статические ключи ASP.NET Machine Keys, найденные в открытых источниках, таких как документация по коду и репозитории.

    Machine Keys предназначены для защиты данных от подделки и утечек. Однако хакеры находят эти ключи и используют их для создания вредоносных данных ViewState, содержащих специальный код аутентификации сообщений. При обработке таких данных сервер IIS загружает их в память и выполняет, что позволяет злоумышленникам исполнять код удаленно и загружать дополнительное вредоносное ПО.

    В декабре 2024 года неизвестный хакер использовал один из таких ключей для внедрения инструмента Godzilla, который позволяет выполнять команды и инъектировать код на сервере IIS.

    Microsoft выявила более 3000 публично доступных machine keys, которые могут быть использованы для подобных атак. Новая угроза опаснее, чем предыдущие, потому что ключи находятся в открытых репозиториях и могут быть случайно включены в разработку без проверки.

    Чтобы снизить риски, Microsoft рекомендует разработчикам генерировать ключи безопасно, избегать использования ключей из открытых источников, шифровать ключи и строки подключения в конфигурации, обновлять приложения до ASP.NET 4.8 для защиты и применять защитные меры на серверах Windows.

    Microsoft также предоставила инструкции по удалению или замене уязвимых ключей через PowerShell и консоль IIS, а также удалила примеры таких ключей из своей документации, чтобы предотвратить их использование.

    Если сервер был скомпрометирован, Microsoft рекомендует провести полное расследование инцидента и, для интернет-ориентированных серверов, форматирование и переустановку в автономной среде.