مایکروسافت: مهاجمان با سوءاستفاده از کلیدهای فاش‌شده ASP.NET بدافزار توزیع می‌کنند

[محمود 8080]

به گزاش ترفندستان به نقل از وب سایت BleepingComputer
.
مایکروسافت هشدار داده که مهاجمان از حملات تزریق کد ViewState برای توزیع بدافزار استفاده می‌کنند و در این حملات، از کلیدهای ایستا و عمومی شده‌ی ASP.NET که به‌صورت آنلاین یافت می‌شوند، بهره می‌برند.


بر اساس تحقیقات اخیر تیم اطلاعات تهدید مایکروسافت، برخی توسعه‌دهندگان از کلیدهای validationKey و decryptionKey در ASP.NET (که برای محافظت از ViewState در برابر تغییرات غیرمجاز و افشای اطلاعات طراحی شده‌اند) استفاده می‌کنند. مشکل اینجاست که این کلیدها گاهی از مستندات کد و مخازن عمومی استخراج شده‌اند.


مهاجمان با سوءاستفاده از این کلیدهای در دسترس، حملات تزریق کد انجام داده و ViewState‌های مخرب ایجاد می‌کنند. این کار با افزودن کد احراز هویت دستکاری‌شده (MAC) انجام می‌شود. سپس، سرور هدف هنگام پردازش ViewState ارسال‌شده از طریق POST request، به دلیل مطابقت کلیدها، داده‌ی مخرب را تأیید، رمزگشایی و اجرا می‌کند.


این روش به مهاجمان امکان اجرای کد از راه دور روی سرور IIS و تزریق بدافزارهای اضافی را می‌دهد.

حمله‌ای که در دسامبر 2024 مشاهده شد

در یکی از نمونه‌های بررسی‌شده در دسامبر 2024، یک مهاجم ناشناس با استفاده از یک کلید عمومی‌شده، فریمورک پس‌از‌بهره‌برداری Godzilla را روی یک سرور IIS هدف مستقر کرد. این فریمورک قابلیت اجرای دستورات مخرب و تزریق shellcode را دارد.

مایکروسافت اعلام کرده که تاکنون بیش از 3,000 کلید عمومی‌شده را شناسایی کرده که می‌توانند برای این حملات مورد استفاده قرار گیرند. برخلاف حملات ViewState قبلی که با کلیدهای به سرقت رفته یا فروخته‌شده در دارک وب انجام می‌شدند، کلیدهای عمومی‌شده خطر بیشتری دارند، زیرا در مخازن کد متعددی در دسترس هستند و ممکن است ناخواسته در پروژه‌های توسعه مورد استفاده قرار گیرند.

توصیه‌های مایکروسافت برای مقابله با این تهدید

مایکروسافت برای جلوگیری از این حملات، اقدامات زیر را پیشنهاد کرده است:

• کلیدهای Machine Key را به‌طور ایمن تولید کنید و از کلیدهای پیش‌فرض یا کلیدهای یافت‌شده به‌صورت آنلاین استفاده نکنید
• عناصر machineKey و connectionStrings را رمزگذاری کنید تا دسترسی به اطلاعات حساس محدود شود
• برنامه‌ها را به نسخه ASP.NET 4.8 ارتقا دهید تا قابلیت‌های AMSI (Antimalware Scan Interface) فعال شوند
• سرورهای ویندوز را با استفاده از قوانین کاهش سطح حمله (مانند مسدودسازی ایجاد Webshell برای سرورها) سخت‌تر کنید

همچنین، مایکروسافت دستورالعمل‌های دقیقی را برای حذف یا جایگزینی کلیدهای ASP.NET در فایل web.config از طریق PowerShell یا کنسول IIS Manager منتشر کرده و نمونه‌های کلید را از مستندات عمومی خود حذف کرده است تا از ادامه این رویه ناامن جلوگیری شود.

مایکروسافت هشدار داده که اگر حمله‌ای با موفقیت از کلیدهای عمومی‌شده انجام شده باشد، صرفاً تغییر کلیدهای Machine Key کافی نخواهد بود و باید بررسی‌های امنیتی بیشتری برای شناسایی درب‌های پشتی و روش‌های پایداری مهاجمان انجام شود.

به‌ویژه، سرورهای وب در معرض اینترنت باید به‌طور کامل بررسی شوند و در مواردی که کلیدهای عمومی‌شده در آن‌ها یافت شده است، فرمت و نصب مجدد آفلاین این سرورها به‌شدت توصیه می‌شود، زیرا این سرورها بیشترین خطر را برای بهره‌برداری دارند.