Microsoft ได้ระบุปุ่ม ASP.NET ที่เข้าถึงได้มากกว่า 3,000 ปุ่มที่ผู้โจมตีใช้เพื่อฉีดรหัสที่เป็นอันตรายลงในเว็บเซิร์ฟเวอร์ IIS การค้นพบนี้เน้นถึงความกังวลด้านความปลอดภัยที่เพิ่มขึ้น: นักพัฒนาได้รับการเปิดเผยปุ่มเครื่องที่ละเอียดอ่อนในที่เก็บสาธารณะเอกสารและแอปพลิเคชันที่กำหนดค่าผิดพลาด href=”https://learn.microsoft.com/en-us/previous-versions/aspnet/bb386448(v=vs.100)”> viewstate คุณลักษณะใน asp.net. ด้วยการได้รับคีย์เครื่องที่ถูกต้องอาชญากรไซเบอร์สามารถสร้าง payloads viewState ที่เป็นอันตรายซึ่งเซิร์ฟเวอร์ IIS ถอดรหัสและดำเนินการได้อย่างมีประสิทธิภาพข้ามการตรวจสอบสิทธิ์
หนึ่งในกรณีที่เกี่ยวข้องมากที่สุดซึ่งสังเกตได้ในเดือนธันวาคม 2567 กุญแจสำคัญในการฉีด payload viewState และปรับใช้ Godzilla Web Shell เครื่องมือนี้ให้การเข้าถึงเซิร์ฟเวอร์ที่ถูกบุกรุกอย่างถาวรทำให้ผู้โจมตีสามารถดำเนินการคำสั่งและหลบเลี่ยงการตรวจจับ
viewstate รหัสการโจมตีห่วงโซ่การฉีดยาที่นำไปสู่การปรับใช้เชลล์ Godzilla (ภาพ: Microsoft)
การค้นพบเพิ่มความกังวลที่เพิ่มขึ้นเกี่ยวกับการโจมตีที่เพิ่มขึ้นจากข้อมูลที่เปิดเผยต่อสาธารณชน รายงานการป้องกันดิจิตอลของ Microsoft 2024 เปิดเผยว่าการโจมตีทางไซเบอร์ที่ขับเคลื่อนด้วย AI ได้ผ่านเหตุการณ์ที่เกิดขึ้น 600 ล้านครั้งต่อวันโดยผู้โจมตีการลาดตระเวนโดยอัตโนมัติเพื่อใช้ประโยชน์จากข้อมูลรับรองที่รั่วไหลออกมา
asp.net ใช้คีย์เครื่อง- การตรวจสอบความถูกต้อง และ DecryptionKey -เพื่อความปลอดภัย ViewState ป้องกันการดัดแปลง หากคีย์เหล่านี้ถูกเปิดเผยผู้โจมตีสามารถสร้างน้ำหนักบรรทุกที่เป็นอันตรายที่ปรากฏว่าถูกต้องตามกฎหมายโดยหลอกให้เซิร์ฟเวอร์ IIS เข้าสู่การดำเนินการ
การโจมตีทำงานดังนี้: อาชญากรไซเบอร์ค้นหากุญแจเครื่องจักรที่มีอยู่ในที่เก็บเอกสารหรือการกำหนดค่ารั่วไหล.
เมื่อพบคีย์แล้วพวกเขาจะสร้าง Payload ViewState ที่เป็นอันตรายและส่งเป็นคำขอ HTTP ไปยังเซิร์ฟเวอร์เป้าหมาย เนื่องจากเซิร์ฟเวอร์รับรู้ถึงคีย์ว่าถูกต้องตามกฎหมายจึงจะประมวลผลน้ำหนักบรรทุกและเรียกใช้รหัสของผู้โจมตี-การเข้าถึงระบบเต็มรูปแบบโดยไม่ต้องรับรองความถูกต้อง
ตาม Microsoft ที่ปรึกษาด้านความปลอดภัย ปัญหานี้เน้นการรักษาความปลอดภัยที่ร้ายแรง การกำกับดูแล: หลายองค์กรกำลังดำเนินการกำหนดค่าที่ผู้โจมตีสามารถใช้ประโยชน์ได้ด้วยความพยายามน้อยที่สุด
ธันวาคม 2024 การโจมตี: แฮ็กเกอร์ใช้กุญแจสาธารณะในการปรับใช้ Godzilla
ความปลอดภัยของ Microsoft นักวิจัยตรวจสอบการโจมตีในโลกแห่งความจริงในเดือนธันวาคม 2567 ซึ่งนักแสดงภัยคุกคามใช้ประโยชน์จากคีย์เครื่องที่เปิดเผยต่อสาธารณะเพื่อฉีดรหัส ViewState ที่เป็นอันตราย เป้าหมายคือเซิร์ฟเวอร์ IIS ที่ใช้ ASP.NET ซึ่งถอดรหัสเพย์โหลดและดำเนินการโดยไม่รู้ตัว
เป็นผลให้ผู้โจมตีใช้งาน Web Shell เพื่อรักษาการเข้าถึงที่ไม่ได้รับอนุญาต ซึ่งแตกต่างจากมัลแวร์แบบดั้งเดิมซึ่งมักจะทิ้งไฟล์ที่สามารถใช้งานได้ Godzilla ทำงานในหน่วยความจำทั้งหมดทำให้ยากขึ้นสำหรับเครื่องมือป้องกันไวรัสในการตรวจจับ
Microsoft ยืนยันว่าวิธีนี้สามารถทำซ้ำได้บนเซิร์ฟเวอร์ IIS อื่น ๆ.
การโจมตีตอกย้ำความเสี่ยงด้านความปลอดภัยทางไซเบอร์ที่เพิ่มขึ้น: ผู้โจมตีไม่ได้ใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์อีกต่อไป-พวกเขากำลังกำหนดเป้าหมายการกำหนดค่าผิดพลาดและข้อมูลรับรองที่เปิดเผยมากขึ้น คำแนะนำด้านความปลอดภัยของ Microsoft สำหรับผู้ใช้ ASP.NET
เพื่อลดความเสี่ยงของการโจมตีการฉีด ViewState Microsoft แนะนำมาตรการรักษาความปลอดภัยหลายประการ:
นักพัฒนาควรตรวจสอบให้แน่ใจว่าคีย์เครื่อง ASP.NET มีเอกลักษณ์และสร้างขึ้นอย่างปลอดภัยแทนที่จะคัดลอกมาจากแหล่งภายนอก องค์กรควรหมุนคีย์เครื่องของพวกเขาอย่างสม่ำเสมอเพื่อป้องกันการเปิดรับแสงระยะยาว
ขั้นตอนที่สำคัญอีกขั้นคือการเข้ารหัสไฟล์ `web.config` ซึ่งเก็บกุญแจของเครื่อง Microsoft ยังให้คำแนะนำในการอัพเกรดเป็น asp.net 4.8 ซึ่งรวม ช่วยให้เซิร์ฟเวอร์ IIS ตรวจจับและบล็อก payloads viewstate ที่เป็นอันตราย
นอกจากนี้ กฎการลดการโจมตีพื้นผิว (ASR) ควรมีการบังคับใช้เพื่อป้องกันการทำงานของเชลล์เว็บ Microsoft ได้ลบตัวอย่างคีย์เครื่องจากเอกสารของตัวเองเพื่อกีดกันนักพัฒนาจากการใช้การตั้งค่าเริ่มต้นที่ไม่ปลอดภัย
ข้อมูลเพิ่มเติมเกี่ยวกับการค้นพบและกลยุทธ์การบรรเทาผลกระทบของ Microsoft สามารถพบได้ใน ที่ปรึกษาด้านความปลอดภัยอย่างเป็นทางการ /p>