В декабре 2024 года эксперты по анализу угроз компании Microsoft обнаружили активность неатрибутированного участника угроз, который использовал общедоступные машинные ключи ASP.NET для внедрения вредоносного кода и доставки фреймворка пост-эксплойта Godzilla.
Описание
В результате проведенного расследования было выявлено, что разработчики использовали различные общедоступные машинные ключи ASP.NET из документации по коду и репозиториев, которые злоумышленники могли использовать для вредоносных действий на серверах. Майкрософт обнаружила более 3000 публично раскрытых ключей, которые могут быть использованы для подобных атак. Компания рекомендует организациям не копировать ключи из общедоступных источников и регулярно менять ключи.
Атаки с внедрением кода ViewState являются уязвимостью веб-форм ASP.NET, которая позволяет злоумышленникам внедрять вредоносный код. Для защиты данных ViewState фреймворк ASP.NET использует два машинных ключа: ключ аутентификации сообщения (MAC), используемый для создания кода аутентификации, и ключ шифрования ViewState. Украденные ключи могут быть использованы для создания вредоносного ViewState, который будет обработан и выполнен на целевом сервере IIS, предоставляя злоумышленнику возможность удаленного выполнения кода.
Для предотвращения таких атак рекомендуется использовать случайно сгенерированные ключи, а также задать ограничения на доступ к файлам конфигурации и документации, в которых могут содержаться машинные ключи.
Indicators of Compromise
SHA256
- 19d87910d1a7ad9632161fd9dd6a54c8a059a64fc5f5a41cf5055cd37ec0499d
