Η Microsoft προειδοποιεί ότι χάκερ αξιοποιούν επιθέσεις code injection ViewState, για την ανάπτυξη malware, χρησιμοποιώντας στατικά κλειδιά μηχανής ASP.NET που έχουν δημοσιοποιηθεί στο διαδίκτυο.
Δείτε επίσης: Phishing: To PNGPlug Loader διανέμει το ValleyRAT malware
Σύμφωνα με πρόσφατες ανακαλύψεις από την ομάδα Microsoft Threat Intelligence, κάποιοι προγραμματιστές ενσωματώνουν στο λογισμικό τους τα κλειδιά ASP.NET validationKey και decryptionKey, τα οποία προορίζονται για την προστασία του ViewState από επιθέσεις και διαρροές δεδομένων. Ωστόσο, αυτά τα κλειδιά συχνά προέρχονται από παραδείγματα τεκμηρίωσης κώδικα ή πλατφόρμες αποθήκευσης, γεγονός που μπορεί να οδηγήσει σε σοβαρούς κινδύνους ασφάλειας.
Οι κακόβουλοι φορείς συχνά αξιοποιούν κλειδιά μηχανής από δημοσίως διαθέσιμες πηγές σε επιθέσεις code injection, με στόχο τη δημιουργία κακόβουλων ViewStates. Τα ViewStates, που χρησιμοποιούνται στις Φόρμες Ιστού ASP.NET για τη διαχείριση κατάστασης και τη διατήρηση δεδομένων σελίδας, γίνονται ευάλωτα σε malware, όταν επισυνάπτεται σε αυτά ένας κατασκευασμένος κώδικας ελέγχου ταυτότητας μηνυμάτων (MAC).
Κατά τη διαδικασία φόρτωσης των ViewStates που αποστέλλονται μέσω αιτημάτων POST, το ASP Runtime στον προοριζόμενο διακομιστή αποκρυπτογραφεί και επικυρώνει τα κακόβουλα τροποποιημένα δεδομένα ViewState που δημιουργούν οι εισβολείς, καθώς χρησιμοποιεί τα σωστά κρυπτογραφικά κλειδιά. Στη συνέχεια, τα δεδομένα αυτά φορτώνονται στη μνήμη της διεργασίας του εργαζόμενου και εκτελούνται, δημιουργώντας έτσι κίνδυνο για την ασφάλεια του συστήματος.
Αυτό τους δίνει τη δυνατότητα να εκτελούν απομακρυσμένo κώδικα στον διακομιστή IIS, επιτρέποντάς τους να αναπτύξουν επιπλέον κακόβουλα φορτία.
Δείτε ακόμα: Η Black Basta καταχράται το Teams Chat για διάδοση malware
Σε μια περίπτωση που παρατηρήθηκε τον Δεκέμβριο του 2024, ένας εισβολέας χρησιμοποίησε ένα δημοσίως γνωστό κλειδί μηχανής για να παραδώσει το πλαίσιο μετά την εκμετάλλευση του Godzilla, το οποίο συνοδεύεται από κακόβουλη εκτέλεση εντολών και δυνατότητες shellcode injection, σε έναν στοχευμένο διακομιστή web των Υπηρεσιών Πληροφοριών Διαδικτύου (IIS).
Για τον αποκλεισμό τέτοιων επιθέσεων, η Microsoft συνιστά στους προγραμματιστές να δημιουργούν ασφαλή κλειδιά μηχανής, να μην χρησιμοποιούν προεπιλεγμένα κλειδιά ή κλειδιά που βρίσκονται στο διαδίκτυο, να κρυπτογραφούν στοιχεία machineKey και connectStrings για να αποκλείουν την πρόσβαση σε μυστικά απλού κειμένου, να αναβαθμίζουν τις εφαρμογές για να χρησιμοποιούν το ASP.NET 4.8 για να ενεργοποιούν τις δυνατότητες Antimalware Scan Interface (AMSI) και να σκληραίνουν τους διακομιστές Windows, όπως για τη δημιουργία κανόνων μείωσης επιφανειών ιστού Block Servers.
Η Microsoft μοιράστηκε επίσης λεπτομερή βήματα για την αφαίρεση ή την αντικατάσταση κλειδιών ASP.NET στο αρχείο διαμόρφωσης χρησιμοποιώντας είτε το PowerShell είτε την κονσόλα διαχειριστή IIS και αφαίρεσε δείγματα κλειδιών από τη δημόσια τεκμηρίωσή της για να αποθαρρύνει περαιτέρω αυτήν την ανασφαλή πρακτική.
Δείτε επίσης: Το Eagerbee malware στοχεύει κυβερνητικές υπηρεσίες στη Μέση Ανατολή
Οι επιθέσεις code injection είναι ένας τύπος απειλής για την ασφάλεια στον κυβερνοχώρο όπου ένας εισβολέας εισάγει κακόβουλο κώδικα σε ένα ευάλωτο πρόγραμμα ή σύστημα. Αυτές οι επιθέσεις εκμεταλλεύονται τις αδυναμίες στον χειρισμό εισόδου μιας εφαρμογής, επιτρέποντας στον εισβολέα να εκτελεί αυθαίρετες εντολές, να κλέβει ευαίσθητες πληροφορίες ή να χειραγωγεί τη συμπεριφορά της εφαρμογής. Για τον μετριασμό αυτών των κινδύνων, οι προγραμματιστές θα πρέπει να επικυρώνουν και να απολυμαίνουν όλες τις εισροές των χρηστών, να χρησιμοποιούν παραμετροποιημένα ερωτήματα και να τηρούν ασφαλείς πρακτικές κωδικοποίησης. Η προστασία των συστημάτων από code injection είναι ζωτικής σημασίας για τη διατήρηση της ακεραιότητας των δεδομένων και την πρόληψη της μη εξουσιοδοτημένης πρόσβασης.
Πηγή: bleepingcomputer
