Microsoft已確定了3,000多個公開訪問的ASP.NET機鍵,攻擊者正在積極使用將惡意代碼注入IIS Web服務器。該發現突出了一個日益嚴重的安全問題:開發人員在公共存儲庫,文檔和錯誤配置的應用程序中一直在不知不覺中揭示敏感的機器鑰匙,這有可能使不良行為者遠程執行任意代碼。
攻擊方法涉及利用<
在2024年12月觀察到的最令人關注的案例之一,涉及攻擊者使用洩漏的機器注入ViewState有效負載並部署 godzilla web shell 。 This tool grants persistent access to compromised servers, enabling attackers to execute commands and evade detection. ViewState代碼注入攻擊鏈,導致哥斯拉·殼的部署(圖片:Microsoft) 該發現增加了人們對利用公開可用信息的攻擊的興起的日益關注。微軟的數字防禦報告2024年顯示,AI驅動的網絡攻擊已經超過了6億個事件,攻擊者自動偵察以利用洩漏的證書和錯誤配置。 ASP.NET使用機器鍵- validationKey 和 decryptionKeykey -以保護ViewState,以防止篡改。如果這些密鑰暴露了,攻擊者可以創建出現合法的惡意有效載荷,欺騙IIS服務器執行它們。 攻擊的工作如下:網絡犯罪分子在存儲庫,文檔或洩漏的配置中搜索公開可用的機器鍵。 。 找到密鑰後,它們會生成惡意的ViewState有效載荷,並將其作為HTTP請求發送到目標服務器。由於服務器將密鑰識別為合法的,因此它處理有效負載並運行攻擊者的代碼-根據Microsoft的 /en-us/security/blog/2025/02/06/code-inpoction-Attacks-使用Publicly-disclose-disclosed-asp-net-machine-keys/“”>安全諮詢
如何允許遠程機器鑰匙執行遠程密碼的執行方式。
2024年12月攻擊:黑客使用公共密鑰來部署godzilla
Microsoft的安全性研究人員調查了2024年12月的一次現實攻擊,威脅演員利用公開可用的機器密鑰來注入惡意視圖州代碼。目標是運行ASP.NET的IIS服務器,該服務器解密了有效載荷並在不知不覺中執行了。與通常留下可執行文件的傳統惡意軟件不同,哥斯拉完全在記憶中運行,因此,防病毒工具很難檢測到。
Microsoft確認可以在其他IIS服務器上複製具有不當安全配置的其他IIS服務器。 。
攻擊強調了越來越多的網絡安全風險:攻擊者不再只是利用軟件漏洞-他們越來越針對錯誤的配置和暴露的憑證來訪問關鍵系統。
Microsoft針對ASP.NET用戶的安全建議
為了減輕ViewState注射攻擊的風險,Microsoft建議採取多種安全措施:
開發人員應確保ASP.NET機器鍵是獨特的並且可以安全生成,而不是從外部來源複製。組織還應定期旋轉其機器鍵以防止長期暴露。
另一個關鍵步驟是加密存儲機器鍵的`web.config`文件。 Microsoft還建議升級到ASP.NET 4.8,該4.8集成了,幫助IIS服務器檢測並阻止惡意ViewState有效載荷。
此外,攻擊表面降低(ASR)規則應執行以防止Web殼執行。 Microsoft還將示例計算機鍵從其自己的文檔中刪除,以阻止開發人員使用不安全的默認設置。
有關Microsoft的發現和緩解策略的更多信息,請參見其官方安全諮詢。