Yakın tarihli bir güvenlik olayı, Hackers tarafından IIS sunucularında uzaktan kod yürütmek için bilgisayar korsanları tarafından kamuya açık 3.000’den fazla açıklanmış ASP.NET makine anahtarının kullanıldığını ortaya koymuştur.
Bu saldırı, kötü niyetli aktörlerin yetkisiz erişim elde etmesine ve Godzilla gibi sömürü sonrası çerçeveleri dağıtmasına izin veren ViewState kodu enjeksiyon tekniklerini kullandı.
İhlal, geliştiricilerin web uygulamalarında makine anahtarlarını işleme biçiminde kritik güvenlik açıklarını vurgular. ASP.NET makine anahtarları, Web uygulamalarında ViewState verilerini güvence altına almak için kritik öneme sahiptir.
Bu anahtarlar, ValidationKey Ve DecryptionKey ViewState verilerinin bütünlüğünü ve gizliliğini sağlayın.
Bununla birlikte, Microsoft’taki araştırmacılar, birçok geliştiricinin bu anahtarları çevrimiçi belgeler veya depolar gibi kamu kaynaklarından kopyaladığını ve uygulamalarını savunmasız bıraktığını belirtti.
Saldırı zinciri
- Viewstate enjeksiyonu: Saldırganlar, herkese açık olarak açıklanan makine anahtarlarını kullanarak kötü niyetli bir ViewState yükü oluştururlar.
- İsteği sonrası: Yük, bir HTTP posta isteği aracılığıyla hedef sunucuya gönderilir.
- IIS sunucusunda yürütme: Sunucu, işlemde kötü amaçlı kod yürüterek tehlikeye atılan anahtarı kullanarak yükü çözer ve doğrular.
Aralık 2024’te Microsoft Tehdit İstihbaratı, bu tekniğin, komutları yürütebilen, kabuk kodu enjekte edebilen ve daha fazlasını enjekte edebilen güçlü bir sömürme sonrası aracı olan Godzilla çerçevesini dağıtmak için kullanıldığını gözlemledi.
.webp)
Saldırganlar, bir .NET montajı yükleyen kötü niyetli bir görüntüleme yükü kullandı (assembly.dll) yansıtıcı belleğe. Aşağıda, makine anahtarlarının nasıl tanımlandığına dair bir örnek var web.config Dosyalar:-
Bu anahtarlar uygulamalar arasında kamuya açıklanırsa veya yeniden kullanılırsa, kötü amaçlı kod enjekte etmek için kullanılabilirler.
Microsoft, riskleri azaltmak için dönen makine tuşlarını önerir. Aşağıda yeni anahtarlar oluşturmak için bir PowerShell betiği var:-
function Generate-MachineKey {
param (
[string]$decryptionAlgorithm = 'AES',
[string]$validationAlgorithm = 'HMACSHA256'
)
process {
$decryptionObject = New-Object System.Security.Cryptography.AesCryptoServiceProvider
$decryptionObject.GenerateKey()
$decryptionKey = [System.BitConverter]::ToString($decryptionObject.Key).Replace("-", "")
$validationObject = New-Object System.Security.Cryptography.HMACSHA256
$validationObject.Key = (New-Object System.Security.Cryptography.RNGCryptoServiceProvider).GetBytes(64)
$validationKey = [System.BitConverter]::ToString($validationObject.Key).Replace("-", "")
Write-Output "Güvenliği artırmak için kuruluşlar, güvenli yöntemleri kullanarak makine anahtarlarını düzenli olarak döndürmeli ve kamu kaynaklarından kopyalanan anahtarları kullanmaktan kaçınmalıdır.
Web.config dosyaları için denetimi yapılandırarak ve Windows güvenlik günlüklerini yetkisiz erişim denemeleri, özellikle de olay kimliği 4663 için izleyerek günlüğe kaydedilmeyi ve izlemeyi etkinleştirmek de önemlidir.
“Herkese açık olarak ifşa edilen ASP.NET Makine Anahtarı” gibi uyarılar aracılığıyla ve Microsoft Güvenlik Copilot kullanarak şüpheli etkinlikleri araştırmaya yardımcı olabilecek Microsoft Defender araçlarını kullandığınızdan emin olun.
Kuruluşlar, bu tür saldırıları tespit etmek ve hafifletmek için dönen makine anahtarlarına, yapılandırma dosyalarını denetlemeye ve gelişmiş güvenlik araçlarından yararlanmalıdır.
Uzlaşma göstergeleri
- Kötü niyetli montaj (
assembly.dll) Sha-256 karma:19d87910d1a7ad9632161fd9dd6a54c8a059a64fc5f5a41cf5055cd37ec0499d - “IIS İşçi Süreci Yükmalı .NET montajı” gibi uyarılar.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free