Microsoft, kurumsal sunuculara karşı kod enjeksiyon saldırılarında tehdit aktörleri tarafından kullanılabilecek 3.000’den fazla halka açık ASP.NET makine anahtarını tespit etti.
Perşembe günü bir blog yazısında Microsoft Tehdit İstihbaratı, Aralık ayında, bir tehdit oyuncusunun kötü amaçlı kod enjekte etmek ve Godzilla sonrası sömürü çerçevesini dağıtmak için halka açık bir ASP.NET makine anahtarı kullandığı “sınırlı etkinlik” i gözlemlediğini söyledi. Microsoft, tehdit oyuncunun “çekilmez” olduğunu söylerken, ABD hükümeti daha önce Godzilla çerçevesini bağladıÇin devlet destekli tehdit aktörlerine arka kapı olarak kullanılabilen kötü niyetli web mermileri oluşturur.
“Bu etkinliğe karşı araştırma, iyileştirme ve koruma oluşturma sırasında, geliştiricilerin, kod belgeleri ve depolar gibi kamuya açıklanan çeşitli ASP.NET makine anahtarlarını, tehdit aktörlerinin kullandığı kamuya açık olarak açıklanan çeşitli ASP.NET makine anahtarlarını dahil ettikleri güvensiz bir uygulama gözlemledik. hedef sunucularda kötü niyetli işlemler yapmak için, “dedi Microsoft Blog yazısı.
Microsoft, güvensiz uygulamanın internette 3.000’den fazla ASP.NET makine anahtarının maruz kalmasına yol açtığını söyledi. Anahtarlar, ViewState kod enjeksiyon saldırıları olarak adlandırılan tehdit aktörleri tarafından istismar edilebilir. Microsoft, ViewSate, ASP.NET sayfa çerçeveleri tarafından sayfayı korumak ve yuvarlak geziler arasındaki değerleri kontrol etmek için kullanılan bir yöntemdir. ASP.NET makine tuşları, ViewState’i kurcalamadan ve veri açıklamasından korumak için kullanılır.
Ancak, bu tür anahtarlar yanlış ellere düşerse, web sitesine teslim edilebilen ve bir Kurumsal IIS (İnternet Bilgi Hizmetleri) sunucusunda uzaktan kod yürütülebilen kötü amaçlı bir görünüm oluşturma oluşturmak için kullanılabilirler. Başka bir deyişle, maruz kalan ASP.NET makine anahtarları olan kuruluşlar, tehdit aktörlerine kuruluşun kendi sunucularını uzaktan tehlikeye atmak için güçlü bir hack aracı sağlayabilir.
“Daha önce bilinen birçok ViewState kodu enjeksiyon saldırıları, genellikle karanlık web forumlarında satılan tehlikeye atılmış veya çalıntı anahtarlar kullanırken, bu kamuya açıklanan anahtarlar, birden fazla kod deposunda mevcut oldukları için daha yüksek bir risk oluşturabilir ve değişiklik yapmadan geliştirme koduna itilmiş olabilirler , “şirket uyardı.
Microsoft Tehdit İstihbaratında Güvenlik Araştırma Kıdemli Direktörü Jeremy Dallman, bir LinkedIn Post. “Statik ASP.NET makine tuşlarının sahiplerinin zayıf hijyen uygulamaları, bunların kod örnekleri ve belgelerde internet çevresinde yanlışlıkla açıklanmasına neden oldu.” “Topluluğun bu tekniği ortadan kaldırmak için hızlanması ve evini temizlemesi gerekiyor.”
Expered 3000 anahtardan herhangi birinin kendi sahipleri tarafından döndürülüp güvence altına alınmış olup olmadığı belirsizdir. Microsoft yorum yapmaktan kaçındı.
Blog yazısında Microsoft, ASP.NET Machine Tuşlarına sahip sahiplerine düzenli olarak döndürmelerini ve bunları kod belgeleri ve depolar gibi halka açık kaynaklarda ortaya çıkarmamalarını tavsiye etti. Şirket ayrıca geliştiricileri ortamlarında bu tür açık anahtarları kullanmamaya çağırdı.
Microsoft ayrıca halka açık olarak açıklanan makine anahtarları için karma değerler yayınladı. Github deposu ve müşterilere verilen bir komut dosyası ile ağlarını kontrol etmelerini tavsiye etti. Endpoint için Microsoft Defender, bir ağdaki risk altındaki anahtarları Alert aracılığıyla algılayabilir ”ASP.NET Makine Anahtarını herkese açık olarak açıkladı–“Satıcıya göre.