.webp?w=696&resize=696,0&ssl=1 "IIS Makine Anahtarları")
Bilgisayar korsanlarının İnternet Bilgi Hizmetleri (IIS) makine anahtarlarını çalmak için SharePoint’teki bir searizasyon kırılganlığından yararlandığı sofistike bir saldırı yöntemi.
Bu, saldırganların güvenlik önlemlerini atlamasını, güvenilir verileri oluşturmasını ve sonuçta tehlikeye atılan sunucularda kalıcı uzaktan kod yürütme (RCE) elde etmesini sağlar.
SANS araştırmacısı Bojan Zdrnja’ya göre, saldırı bilinen bir SharePoint searalizasyon kırılganlığının sömürülmesi ile başlıyor. Bu güvenlik açığı keyfi komut yürütmesine izin verirken, araştırmacılar belirli bir model gözlemlediler: saldırganlar kötü niyetli bir ASPX dosyası yüklemek için ilk erişimlerini kullanıyorlar.
Bu dosyanın birincil işlevi, geleneksel kötü amaçlı yazılımları dağıtmak değil, sunucunun IIS makine anahtarını çıkarmaktır.
IIS makinesi anahtarı ASP.NET uygulamalarında kritik bir şifreleme bileşenidir. ViewState, çerezler ve oturum bilgileri gibi hassas verileri şifrelemek ve doğrulamak, veri bütünlüğünü sağlamak ve raporun okuduğu gibi kurcalamadan korumaktan sorumludur.
Kullanıcı etkileşimleri arasındaki bir web sayfasının durumunu korumak için kullanılan bir mekanizma olan ViewState, güvenliği için bu anahtara dayanır.
Bir saldırgan makine anahtarını başarıyla çalırsa, “ana anahtar” ı uygulamanın güvenliğine etkili bir şekilde tutarlar. Hırsızlık yöntemi, anahtarın nasıl depolandığına bağlıdır.
Birçok ortamda, özellikle sunucu çiftliklerinde, yöneticiler anahtarı düz metinde saklayın. web.config Kolay senkronizasyon için dosya. Dosya-okuma erişimi olan saldırganlar sadece yakalayabilir.
Bununla birlikte, anahtarı otomatik olarak üretmenin ve kayıt defterinde saklamak için varsayılan, daha güvenli bir yöntem bile kusursuz değildir. İlk SharePoint istismarı, bir saldırganın bu anahtarı doğrudan kayıt defterinden okuyabilen bir komut dosyası çalıştırması için yeterli kod yürütme ayrıcalığı sağlar.
Makine anahtarına sahip olduktan sonra, bir saldırgan gibi araçlar kullanabilir ysoserial.net RCE yükü içeren kötü niyetli bir ViewState nesnesi oluşturmak.
Bu yük meşru makine anahtarıyla imzalandığından, IIS sunucusu ona güvenir, sazerleştirir ve gömülü kodu yürütür. Bu, saldırgana kalıcı bir arka kapı verir.
Kötü niyetli ViewState, yalnızca başlangıçta savunmasız olanı değil, uygulama içindeki herhangi bir ASPX sayfasına gönderilebilir ve Access Survives sunucu yeniden başlatılır.
Yöneticilere derhal harekete geçmeleri isteniyor. Anahtar paket, bir sunucu herhangi bir tür yetkisiz kod yürütme geçirmişse, makine anahtarının tehlikeye girmesi ve manuel olarak yeniden üretilmesi gerektiğidir.
Algılama için güvenlik ekipleri, 4009 olay kodu için Windows uygulama olay günlüklerini izlemelidir. ViewState doğrulama hatasını gösteren bu olay, bir saldırganın forged yükü ile feshedme sürecini kullanmaya çalıştığının güçlü bir göstergesidir.
Integrate ANY.RUN TI Lookup with your SIEM or SOAR To Analyses Advanced Threats -> Try 50 Free Trial Searches