СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
07.02.2025
#Dev#ИБ#Инфра

Уязвимости ViewState в ASP.NET: угроза от утечек ключей

Уязвимости ViewState в ASP.NET: угроза от утечек ключей

В декабре 2024 года служба Microsoft Threat Intelligence выявила атаки, приписываемые неназванному хакеру, который использовал общедоступный статический ASP.NET машинный ключ для выполнения атаки с кодом ViewState. Этот инцидент стал сигналом тревоги для разработчиков, обсуждающим важность защиты ключей и механизмов аутентификации.

Суть инцидента

Атака, произошедшая в декабре, обеспечила развертывание Godzilla post-exploitation framework, подчеркивая критическую уязвимость в практике, когда разработчики используют опубликованные машинные ключи ASP.NET из доступа к документации и хранилищ. Microsoft настоятельно рекомендует отказаться от такой практики.

Уязвимость ViewState

ViewState является важнейшим механизмом в ASP.NET Web Forms, который позволяет поддерживать состояние страниц при обратной передаче. Конфиденциальные данные хранятся в скрытом поле и кодируются с использованием Base64. Целостность ViewState защищается двумя ключами:

  • validationKey — для создания кода аутентификации сообщения (MAC);
  • decryptionKey — для шифрования ViewState.

Если эти ключи скомпрометированы, злоумышленники могут отправить POST-запрос, что позволит им успешно проверить и расшифровать ViewState, внедрив вредоносный код на сервер.

Подробности инцидента

В декабре произошел инцидент, связанный с полезной нагрузкой, автоматически загружающей сборку, идентифицированную по SHA-256: 19d87910d1a7ad9632161fd9dd6a54c8a059a64fc5f5a41cf5055cd37ec0499d, которая ассоциируется с Godzilla framework. Фреймворк известен своими возможностями, включая:

  • выполнение вредоносных команд;
  • внедрение шеллкода в процессы.

Рекомендации от Microsoft

Для защиты от подобных атак Microsoft Defender для Endpoint предлагает различные средства обнаружения активности платформы Godzilla framework и оповещения, связанные с общедоступными машинными ключами. Однако важно заметить, что эти оповещения могут не указывать непосредственно на использование ключей, а только на наличие общих уязвимостей.

Организациям рекомендуется:

  • активно использовать антивирус Microsoft Defender для защиты в режиме реального времени;
  • немедленно пересматривать методы обеспечения безопасности в ответ на предупреждения, касающиеся общедоступных ключей.

Заключение

Постоянный мониторинг методов атаки остаётся ключевым аспектом кибербезопасности в условиях постоянно развивающихся угроз. Поддержание бдительности при защите компьютерных ключей критически важно для предотвращения потенциального использования подобных уязвимостей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: