Şirket, Aralık 2024’te Microsoft Tehdit Araştırmacılarının tespit ettiği bir ViewState kodu enjeksiyon saldırısının diğer saldırganlar tarafından kolayca çoğaltılabileceğini söyledi.
“Bu etkinliğe karşı araştırmak, iyileştirme ve koruma oluşturma sırasında, geliştiricilerin, kod belgeleri ve depolar gibi kamuya açıklanan çeşitli ASP.NET makine anahtarlarını dahil ettikleri güvensiz bir uygulama gözlemledik, Tehdit Oyuncuları kullandı. Hedef sunucularda kötü niyetli eylemler yapmak. ”
Saldırı
ASP.NET, modern, dinamik ve ölçeklenebilir web uygulamaları, hizmetleri ve API’lar oluşturmak için açık kaynaklı bir web çerçevesidir.
“ViewState, ASP.NET Formlarının Sayfa ve Kontrol Durumunu Koruma Durumları Arası. ViewState verileri sayfadaki gizli bir alanda saklanır ve Base64 kodlama kullanılarak kodlanır ”diye açıkladı Microsoft.
“ViewState’i kurcalama ve bilgi açıklamasına karşı korumak için ASP.NET sayfa çerçevesi makine anahtarlarını kullanır: validationKey ve DeclityPudiedKe. ValidationKey, ViewState’e eklenecek bir mesaj kimlik doğrulama kodu (mac) oluşturmak için kullanılır. DecloPtionKey, ViewState’i şifreleme seçeneği ile ilgilidir. Bu anahtarlar otomatik olarak oluşturulur ve kayıt defterinde saklanır veya manuel olarak belirtilir [web.]Yapılandırma dosyaları. “
Bu makine tuşları, basit bir HTTP sonrası isteği aracılığıyla hedef web sitelerine gönderilebilen kötü niyetli bir görünüm ağı oluşturmak için kullanılabilir.
“İstek, hedeflenen sunucuda ASP.NET çalışma zamanı ile işlendiğinde, ViewState şifrelenir ve doğru anahtarlar kullanıldığı için başarıyla doğrulanır. Kötü amaçlı kod daha sonra işçi süreç belleğine yüklenir ve yürütülür ve Tehdit Oyuncusu Uzaktan Kod Yürütme yeteneklerini hedef IIS üzerindeki [Internet Information Services] Web Sunucusu [which is used to host and manage web applications, websites, and services on Windows servers]. “
Makine anahtarları halka açık değildir, ancak Microsoft’a göre, bunların 3000’den fazlasını çeşitli kod depolarında açıklanmıştır ve geliştirme koduna itilmiş olabilir.
Aralık saldırısı sınırlıydı ve tehdit oyuncusunun görevden alınan Godzilla’nın sömürü sonrası çerçevesini / webshell’i yüklemesine ve yürütmesine neden oldu.
Godzilla’ya yol açan viewstate kodu enjeksiyon saldırı zinciri (Kaynak: Microsoft)
Ne yapalım?
Şirket, “Microsoft, kuruluşların halka açık kaynaklardan anahtarları kopyalamamasını ve anahtarları düzenli olarak döndürmelerini öneriyor” dedi.
Ayrıca, kamuya açıklanan makine anahtarları için ve kuruluşların çevrelerindeki makine anahtarlarının aralarında olup olmadığını kontrol etmek için kullanabilecekleri bir komut dosyası için karma değerlerin bir listesini sunmuşlardır.
“Kamu açıklanan anahtarların başarılı bir şekilde kullanılması meydana gelirse, dönen makine anahtarları, bir tehdit oyuncusu veya başka bir kovma sonrası faaliyet tarafından oluşturulan olası arka planları veya kalıcılık yöntemlerini yeterince ele almayacak ve ek soruşturma garanti edilebilir. Özellikle, web’e dönük sunucular, bu sunucuların en fazla olası sömürü riski altında olduğu için, kamuya açıklanan anahtarların tanımlandığı durumlarda çevrimdışı bir ortamda yeniden şekillendirme ve yeniden yükleme için tam olarak araştırılmalı ve güçlü bir şekilde dikkate alınmalıdır ”diye ekledi Microsoft .