Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга



Reply
 
Thread Tools Display Modes
  #1  
Old 03-06-2025, 01:21 PM

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default


Microsoft https://www.microsoft.com/en-us/secu...-machine-keys/новую тактику кибератак, при которой злоумышленники используют https://www.ptsecurity.com/ru-ru/research/threatscape/в механизме ViewState для внедрения вредоносного кода. Проблема связана с разработчиками, использующими статические ключи ASP.NET Machine Keys, найденные в открытых источниках, таких как документация по коду и репозитории.
Machine Keys предназначены для защиты ViewState от подделки и утечек данных. Однако хакеры находят публично доступные ключи и используют их для создания вредоносных ViewState, содержащих специально подготовленный код аутентификации сообщений (Message Authentication Code, MAC). При обработке таких ViewState IIS-сервер загружает их в память рабочего процесса и выполняет, что позволяет атакующим исполнять код удаленно и загружать дополнительное вредоносное ПО.
В декабре 2024 года неизвестный киберпреступник использовал один из таких публичных ключей для внедрения инструмента Godzilla, предназначенного для постэксплуатации, выполнения команд и инъекции shell-кода на сервере IIS.

Цепочка атаки с внедрением кода ViewState (Microsoft)
Microsoft выявила более 3000 публично доступных machine keys, которые могут быть использованы для подобных атак. В отличие от ранее известных атак с подделкой ViewState, где использовались украденные ключи, продаваемые в даркнете, новая https://www.ptsecurity.com/ru-ru/res...y-vs-zashhita/опаснее: ключи находятся в открытых репозиториях и могут быть случайно включены в разработку без проверки.
Чтобы минимизировать риски, Microsoft рекомендует разработчикам генерировать machine keys безопасно, избегать использования ключей из открытых источников, шифровать machineKey и connectionStrings в конфигурации, обновлять приложения до ASP.NET 4.8 для включения Antimalware Scan Interface (AMSI) и применять защитные меры на серверах Windows, включая https://learn.microsoft.com/microsof...face-reduction .
Дополнительно Microsoft представила инструкции по удалению или замене уязвимых ключей через PowerShell и консоль IIS, а также удалила примеры таких ключей из своей документации, чтобы предотвратить их использование.
В случае успешной эксплуатации атакующими просто ротация ключей может быть недостаточной. Microsoft настоятельно рекомендует полное расследование https://www.ptsecurity.com/ru-ru/products/pt-ipc/, а для интернет-ориентированных серверов — форматирование и переустановку в автономной среде, поскольку такие системы находятся в группе наибольшего риска.
https://www.securitylab.ru/news/556216.php
Reply

Tags
NULL


Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is On

Forum Jump




All times are GMT. The time now is 08:08 PM.