マイクロソフトは、攻撃者がオンラインで見つけた静的なASP.NETマシンキーを使用したViewStateコードインジェクション攻撃でマルウェアを展開していると警告している。NET マシン・キーを使用した ViewState コード・インジェクション攻撃でマルウェアが展開されていることを警告しています。
Microsoft Threat Intelligence の専門家が最近発見したように、一部の開発者は、コード文書やリポジトリプラットフォームで発見された ASP.NET validationKey および decryptionKey キー(ViewState を改ざんや情報漏洩から保護するためのもの)を、自身のソフトウェアで使用しています。
ViewStateは、ASP.NET Web Formsの状態を制御し、ページの再読み込みにわたってユーザーの入力を保持することを可能にします。しかし、改ざんや情報漏洩から保護するために設計されたマシン・キーを攻撃者が入手した場合、コード・インジェクション攻撃でそれを使用し、細工したメッセージ認証コード(MAC)を添付して悪意のあるペイロードを作成することができます。
しかし、脅威当事者は、コードインジェクション攻撃において、一般に公開されているソースからマシンキーを使用し、細工したメッセージ認証コード(MAC)を添付することで、悪意のあるViewStates(ASP.NET Web Formsが状態を制御し、ページを保持するために使用)を作成することもあります。
POST リクエストで送信された ViewState をロードする際、標的となったサーバー上の ASP.NET ランタイムは、正しいキーを使用しているため、攻撃者が悪意を持って細工した ViewState データを解読し、検証し、ワーカープロセスのメモリにロードして実行します。
これにより、攻撃者は標的となったIISウェブサーバ上でリモート・コード実行(RCE)を許されてしまい、さらに悪意のあるペイロードを展開できるようになります。
2024年12月に確認された事例では、無所属の攻撃者が公知のマシンキーを使用して、悪意のあるコマンドの実行とシェルコードのインジェクション機能を備えたGodzillaポストエクスプロイトフレームワークを標的のインターネットインフォメーションサービス(IIS)Webサーバに配信していました。
「マイクロソフトは、ViewStateコードインジェクション攻撃と呼ばれるこの種の攻撃に使用される可能性のある、公開されている3,000以上のキーを特定しました。
「以前から知られている多くのViewStateコードインジェクション攻撃では、ダークウェブ・フォーラムで販売されていることが多い漏洩または盗難された鍵が使用されていたが、これらの一般公開されている鍵は、複数のコード・リポジトリで入手可能であり、修正されることなく開発コードにプッシュされた可能性があるため、より高いリスクをもたらす可能性がある。
このような攻撃をブロックするために、マイクロソフトは開発者に対し、マシンキーを安全に生成し、デフォルトのキーやオンラインで見つかったキーを使用しないこと、マシンキーとコネクションストリングス要素を暗号化して平文の秘密へのアクセスをブロックすること、ASP.NET 4.8を使用するようにアプリケーションをアップグレードしてAntimalware Scan Interface(AMSI)機能を有効にすること、およびBlock Webshell creation for Servers(サーバーのウェブシェル作成をブロックする)などの攻撃対象領域の削減ルールを使用してWindowsサーバーを強化することを推奨している。
マイクロソフトはまた、PowerShell または IIS マネージャー・コンソールを使用して、web.config 構成ファイル内の ASP.NET キーを削除または置換するための詳細な手順を共有し、このような安全でない方法をさらに阻止するために、公開ドキュメントからキーのサンプルを削除しました。
「公開されているキーの悪用に成功した場合、マシン・キーを交換しても、脅威行為者によって確立されたバックドアや永続的な方法、あるいはその他の悪用後の活動には十分に対処できず、追加の調査が必要になる可能性がある」と、レドモンド社は警告している。
「特に、一般に公開された鍵が特定された場合、ウェブに面したサーバは、悪用の可能性が最も高いため、十分に調査し、再フォーマットやオフライン媒体への再インストールを強く検討すべきである。
Comments