Microsoft waarschuwt voor een onzekere praktijk waarbij softwareontwikkelaars publiekelijk bekendgemaakte ASP.NET -machinetoetsen opnemen van openbaar toegankelijke bronnen, waardoor hun applicaties in het pad van aanvallers worden geplaatst.
Het dreigingsinformatie-team van de tech-gigant zei dat het in december 2024 beperkte activiteiten observeerde waarbij een onbekende dreigingsacteur betrokken was met een publiek beschikbare, statische ASP.NET-machine-sleutel om kwaadaardige code te injecteren en het Godzilla post-exploitatie framework te leveren.
Het merkte ook op dat het meer dan 3000 openbaar bekendgemaakte sleutels heeft geïdentificeerd die kunnen worden gebruikt voor dit soort aanvallen, die het viewstate code -injectieaanvallen noemt.
“Terwijl veel eerder bekende viewState -code -injectie -aanvallen werden gebruikt gecompromitteerde of gestolen toetsen die vaak worden verkocht op donkere webforums, kunnen deze publiekelijk bekendgemaakte toetsen een hoger risico vormen omdat ze beschikbaar zijn in meerdere code -repositories en kunnen zijn geduwd in ontwikkelingscode zonder wijziging zonder wijziging , “Zei Microsoft.
ViewState is een methode die wordt gebruikt in het ASP.NET -framework om de pagina- en besturingswaarden tussen postbacks te behouden. Dit kan ook toepassingsgegevens bevatten die specifiek zijn voor een pagina.
“Standaard worden statusgegevens bekijken op de pagina in een verborgen veld en worden ze gecodeerd met behulp van Base64 -codering”, merkt Microsoft op in de documentatie. “Bovendien wordt een hash van de gegevens van de weergavetoestand gemaakt op basis van de gegevens met behulp van een machine -authenticatiecode (MAC) -toets. De hashwaarde wordt toegevoegd aan de gecodeerde weergavetoestandgegevens en de resulterende string wordt opgeslagen op de pagina.”
Bij het gebruik van een hash -waarde is het idee ervoor te zorgen dat de weergavegegevens niet zijn beschadigd of geknoeid door kwaadaardige acteurs. Dat gezegd hebbende, als deze sleutels worden gestolen of toegankelijk worden gemaakt voor ongeautoriseerde derden, opent het de deur naar een scenario waarin de dreigingsacteur de sleutels kan gebruiken om een kwaadwillig bekijkstaatverzoek te sturen en willekeurige code uit te voeren.
“Wanneer het verzoek wordt verwerkt door ASP.NET runtime op de beoogde server, wordt de ViewState met succes gedecodeerd en gevalideerd omdat de juiste toetsen worden gebruikt,” merkte Redmond op. “De kwaadwillende code wordt vervolgens in het geheugen van de werknemer geladen en uitgevoerd, waardoor de externe code -uitvoeringsmogelijkheden op afstand worden uitgevoerd op de Target IIS -webserver.”
Microsoft heeft een lijst met hash -waarden verstrekt voor de openbaar bekendgemaakte machinetoetsen, waarbij klanten worden aangespoord om ze te controleren op de machinetoetsen die in hun omgevingen worden gebruikt. Het heeft ook gewaarschuwd dat in het geval van een succesvolle exploitatie van publiekelijk bekendgemaakte sleutels, alleen roterende sleutels niet voldoende zal zijn, omdat de dreigingsactoren mogelijk al doorzettingsvermogen op de gastheer hebben vastgesteld.
Om het risico van dergelijke aanvallen te verminderen, wordt geadviseerd om geen sleutels uit openbaar beschikbare bronnen te kopiëren en regelmatig sleutels te roteren. Als een verdere stap om dreigingsacteurs af te schrikken, zei Microsoft dat het belangrijke artefacten uit “beperkte instanties” verwijderde waar ze in de documentatie werden opgenomen.
De ontwikkeling komt als Cloud Security Company Aqua details onthulde van een OPA -poortwachter -bypass die zou kunnen worden benut om ongeautoriseerde acties in Kubernetes -omgevingen uit te voeren, inclusief het implementeren van ongeautoriseerde containerafbeeldingen.
“In het K8SAllowedRepos -beleid komt een beveiligingsrisico voort uit hoe de rego -logica is geschreven in het beperkingsbestand”, zeiden onderzoekers Yakir Kadkoda en Assaf Morag in een analyse gedeeld met het Hacker News.
“Dit risico wordt verder versterkt wanneer gebruikers waarden definiëren in het beperking van het YAML -bestand die niet in overeenstemming zijn met hoe de rego -logica ze verwerkt. Deze mismatch kan leiden tot beleidsomleiding, waardoor de beperkingen niet effectief zijn.”
