微軟近日發布緊急安全警告,指出
軟體開發人員將公開曝露的ASP.NET機器金鑰(machine key)整合到應用程式中的不安全做法,可能導致嚴重的資安漏洞。微軟威脅情報團隊已確認超過3000組遭公開的金鑰可能被用於惡意程式碼注入攻擊。
微軟安全團隊在2024年12月觀察到可疑活動,一名身分不明的攻擊者利用公開可得的靜態ASP.NET機器金鑰,成功注入惡意程式碼並部署Godzilla後滲透框架。這起事件凸顯了重複使用公開金鑰的問題。
ASP.NET 是由微軟建立的開放原始碼網路架構,用來使用. NET 來組建現代化Web 應用程式和服務。 ASP.NET 是跨平台,可在Linux, Windows, macOS, and Docker 上執行。
公開曝露的ASP.NET機器金鑰的安全風險源自ViewState,這是ASP.NET框架的一項核心功能,用於在頁面回傳(postback)期間保持頁面和控制項的數值。ViewState資料通常以base64編碼方式儲存在網頁的隱藏欄位中。為確保資料完整性,系統會使用機器認證碼(MAC)金鑰產生ViewState資料的雜湊值,並將其附加到編碼後的資料中。
微軟解釋,雖然這種雜湊機制原本是為了防止資料遭竄改,但機器金鑰的外洩卻創造了嚴重的漏洞。當攻擊者取得這些金鑰後,他們可以製作看似合法的惡意ViewState請求。當這些請求被ASP.NET執行環境處理時,由於使用了正確的金鑰,這些請求會被成功解密和驗證,使攻擊者能夠在目標IIS網頁伺服器上執行任意程式碼。
這種情況特別令人擔憂的是,與過去仰賴暗網論壇上交易竊取金鑰的ViewState程式碼注入攻擊不同,這次發現的漏洞涉及多個程式碼儲存庫中可免費取得的金鑰。
微軟警告,這些金鑰可能在開發人員未經適當修改的情況下,就被納入開發程式碼中。
微軟已立即採取行動,公布了這些外洩機器金鑰的雜湊值清單,讓客戶能夠驗證其環境是否使用了任何遭洩露的金鑰。然而,微軟強調,如果攻擊已經發生,僅僅更換金鑰可能還不夠,因為攻擊者可能已在受害系統中建立持續性存取管道。
為防範這類攻擊,
微軟建議開發人員採取以下措施:切勿從公開來源複製機器金鑰;定期輪換金鑰;對現有應用程式進行全面的安全稽核;持續監控系統是否出現遭入侵跡象。為回應此安全疑慮,微軟已從文件中移除先前提供的金鑰範例。
在攻擊者不斷尋找新方法利用公開安全憑證的情況下,這項發現突顯在現代網頁應用程式開發中,適當的金鑰管理和安全實踐的重要性。
延伸閱讀:美國CISA 將微軟 .NET 和 Apache OFBiz 漏洞列入KEV並要求修補 Linux 內核漏洞
本文轉載自thehackernews。