Microsoftは、攻撃者がIIS Webサーバーに悪意のあるコードを注入するために積極的に使用している3,000を超える公開可能なASP.NETマシンキーを特定しました。発見は、セキュリティの懸念の高まりを強調しています。開発者は、公開リポジトリ、ドキュメント、誤ったアプリケーションで機密性の高いマシンキーを無意識のうちに公開しています。悪いアクターが任意のコードをリモートで実行できるようにします。 href=”https://learn.microsoft.com/en-us/previous-versions/aspnet/bb386448(v=vs.100)”> viewstate 、暗号化されたページデータデータを保存するASP.NETの機能です。 。有効なマシンキーを取得することにより、サイバー犯罪者は、IISサーバーが復号化および実行する悪意のあるViewStateペイロードを作成し、認証を効果的にバイパスすることができます。 ViewStateのペイロードを注入し、
攻撃者は、不正なアクセスを維持するためにGodzilla Webシェルを展開しました。しばしば実行可能ファイルを残している従来のマルウェアとは異なり、ゴジラは完全にメモリで動作し、アンチウイルスツールが検出するのがはるかに難しくなりました。 。
攻撃は、サイバーセキュリティのリスクの高まりを強調しています。攻撃者はもはやソフトウェアの脆弱性を悪用するだけでなく、ますますますます重要なシステムにアクセスするための誤った採用と公開された資格情報をターゲットにしています。 Microsoftはいくつかのセキュリティ対策を推奨しています。
開発者は、外部からコピーされるのではなく、ASP.NETマシンキーがユニークで安全に生成されることを確認する必要があります。ソース。また、組織は長期的な露出を防ぐためにマシンキーを定期的に回転させる必要があります。
別の重要なステップは、マシンキーを保存する `web.config`ファイルを暗号化することです。 Microsoftはまた、ASP.NET 4.8にアップグレードすることをアドバイスします。これは、
