安全客 02月08日
攻击者利用加密密钥进行恶意软件部署
index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html

 

微软警告称,攻击者正利用公开暴露的ASP.NET机器密钥注入恶意代码,发起ViewState代码注入攻击。攻击者利用这些密钥操纵身份验证令牌、解密受保护信息,甚至将有害代码插入易受攻击的Web服务器,从而获取未经授权的控制权并长期访问系统。微软已发现超过3000个公开披露的密钥可能被用于攻击,并建议开发人员避免使用从公开来源复制的机器密钥,定期轮换密钥,并进行全面的取证调查,以应对潜在的后门或未经授权的接入点。

🔑ViewState 代码注入攻击:攻击者利用公开的 ASP.NET 机器密钥,构造恶意的 ViewState 数据并发送到目标 Web 应用程序,从而在 Web 服务器上执行注入的代码,最终获得对系统的控制权。

🛡️微软的应对措施:微软已经从其文档中移除了密钥示例,并为安全团队提供了一个脚本,用于识别和替换其环境中公开披露的密钥。Microsoft Defender for Endpoint 也针对公开暴露的 ASP.NET 机器密钥设置了警报。

⚠️安全建议:微软建议开发人员避免使用从公开来源复制的机器密钥,并定期轮换密钥以降低风险。对于高风险情况,建议重新格式化并重新安装受影响的系统,以防止进一步的攻击利用。同时,建议启用反恶意软件扫描接口功能和攻击面缩减规则。

图片来源:Shutterstock威胁行为者正利用暴露的加密密钥来操纵身份验证令牌、解密受保护信息,并将有害代码插入易受攻击的 Web 服务器,这使得黑客有可能获取未经授权的控制权并确保长期访问权限。 微软的威胁情报团队观察到,自 2024 年 12 月起,有不明威胁行为者利用公开可用的静态ASP.NET机器密钥注入恶意代码。攻击者利用这一弱点部署了 “哥斯拉” 后渗透框架,这有可能实现对目标系统的持续访问并进一步造成破坏。 微软报告称,已发现超 3000 个公开披露的密钥可能被用于攻击,这类攻击被称为 ViewState 代码注入攻击。 以往的攻击依赖于在地下论坛交易的被盗或泄露的密钥。微软警告称,公开披露的密钥可能构成更大风险,因为它们在各种代码库中广泛可得,且可能未经任何修改就直接被整合到开发项目中。 2024 年 12 月,微软检测到一名未知威胁行为者注入恶意 ViewState 有效载荷,从而反射加载 “哥斯拉”,使黑客能够执行命令、注入壳代码并进行其他后渗透活动。 ViewState 是ASP.NET Web Forms 中的一项功能,用于在用户交互过程中保持网页状态。它依赖机器密钥(验证密钥和解密密钥)来防止篡改和数据泄露。如果攻击者获取这些密钥,就能构造恶意 ViewState 数据并发送到目标 Web 应用程序。当数据被处理时,注入的代码会在 Web 服务器上执行,让攻击者获得对系统的控制权。 微软建议开发人员避免使用从公开来源复制的机器密钥,并定期轮换密钥以降低风险。该公司还从其文档中移除了密钥示例,并为安全团队提供了一个脚本,用于识别和替换其环境中公开披露的密钥。 微软端点防护(Microsoft Defender for Endpoint)也针对公开暴露的ASP.NET机器密钥设置了警报,不过该警报本身并不表明存在正在进行的攻击。运行ASP.NET应用程序的组织,尤其是部署在 Web 场中的组织,强烈建议用存储在系统注册表中的自动生成值替换固定的机器密钥。 如果面向 Web 的服务器已遭到入侵,仅轮换机器密钥可能无法消除持续存在的威胁。微软建议进行全面的取证调查,以检测潜在的后门或未经授权的接入点。 报告称,在高风险情况下,安全团队应考虑重新格式化并重新安装受影响的系统,以防止进一步的攻击利用。 各组织还应实施最佳实践,例如加密敏感配置文件、遵循安全的 DevOps 流程,以及将应用程序升级到ASP.NET 4.8。微软建议启用反恶意软件扫描接口功能和攻击面缩减规则,以阻止在 Windows 服务器上创建网页木马。

Fish AI Reader

Fish AI Reader

AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。

FishAI

FishAI

鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑

联系邮箱 441953276@qq.com

相关标签

ASP.NET 机器密钥 ViewState 代码注入 安全漏洞
相关文章