ASP.NET 漏洞曝光!3000+ 服务器公开密钥或面临威胁
ASP.NET 服务器安全防线破裂!3000+ 公开密钥遭曝光,风险将近在眼前
2月7日消息,科技媒体bleepingcomputer于2月6日发布了一篇博文,指出微软已发出警告,有攻击者正在利用互联网上公开的ASP.NET静态密钥进行攻击。这些攻击者通过 ViewState 代码注入的方式,部署恶意软件以实现其不法目的。 这一系列事件提醒我们,网络安全问题依然严峻。即便是在技术不断进步的今天,一些基础的安全措施仍然被忽视或未能得到充分重视。ASP.NET静态密钥的公开暴露了开发人员在安全意识上的不足,也暴露出系统设计中的潜在漏洞。这不仅需要开发者更加谨慎地处理敏感信息,也需要企业加强系统的安全性,确保密钥等关键信息的安全存储与管理。只有这样,才能有效防止类似攻击的发生,保护用户免受恶意软件的危害。
微软的威胁情报专家最近发现,一些开发者在软件开发过程中,不恰当地将用于保护ViewState安全的ASP.NET validationKey和decryptionKey密钥公开在代码文档和代码库平台上。这些密钥本应严格保密,以防止ViewState被篡改或敏感信息泄露。这种做法无疑增加了应用程序遭受攻击的风险,因为攻击者可以利用这些密钥来篡改ViewState中的数据,进而获取敏感信息或执行恶意操作。 这种疏忽不仅暴露了用户的隐私,还可能给企业带来严重的安全威胁。开发者应当加强对密钥管理的认识,确保所有敏感信息的安全存储与传输。此外,公司和组织也应该加强内部培训,提高开发人员的安全意识,确保他们了解如何正确处理和保护这类关键信息。只有这样,才能有效避免潜在的安全漏洞,保障用户的数据安全。
然而,攻击者利用公开的密钥进行代码注入攻击,通过添加伪造的消息认证码(MAC)来创建恶意的ViewState。ViewState是ASP.NET Web窗体用来控制状态和保存页面信息的重要机制。这种攻击手段不仅威胁到了网站的安全性,还揭示了当前网络安全防护体系中的潜在漏洞。我们需要更加重视软件开发过程中的安全措施,并不断加强对此类攻击的防范能力。此外,开发者应该加强对ViewState的保护,避免敏感信息被篡改或泄露,从而确保用户数据的安全。
攻击者通过POST请求向目标服务器发送恶意的ViewState,目标服务器上的ASP.NET运行时使用正确的密钥进行解密,并验证了攻击者伪造的ViewState数据。随后,恶意的ViewState被加载到工作进程的内存中并被执行,使攻击者能够在IIS服务器上远程执行代码并部署其他恶意负载。
微软在2024年12月发现了一起针对互联网信息服务(IIS)Web服务器的攻击事件。攻击者利用公开的密钥成功部署了Godzilla后渗透框架,这一框架能够执行恶意命令并注入Shellcode。此类攻击手段不仅展示了攻击者的技术水平,也再次提醒我们网络安全防护的重要性。随着技术的发展,攻击方式也在不断进化,因此,持续提升安全防御机制和定期进行安全审计显得尤为关键。
微软已识别出超过 3000 个公开的密钥,这些密钥都可能被用于 ViewState 代码注入攻击。以往已知的 ViewState 代码注入攻击多使用从暗网论坛购买的被盗密钥,而这些公开的密钥存在于多个代码库中,开发者可能直接将其复制到代码中而未进行修改,因此风险更高。
微软分享了通过PowerShell或IIS管理器控制台在web.config配置文件中移除或替换ASP.NET密钥的详细步骤,并从其公开文档中删除了密钥示例,以进一步防止这种不安全的行为。
微软警告,如果已经发生利用公开密钥的攻击,仅仅轮换密钥可能并不足以彻底解决问题。攻击者可能已经建立了后门或持久化机制,并且可能会继续进行其他后渗透活动。因此,除了轮换密钥外,还需要对系统进行全面的安全审查和深入调查,以确保所有潜在的安全漏洞都得到妥善处理。此外,建议组织加强监控和防御措施,以防此类事件再次发生。 这种情况下,仅仅采取表面的应对措施是远远不够的,必须从根本上解决问题。企业应当提高安全意识,定期进行安全审计,并及时修补漏洞。同时,与专业的网络安全团队合作,可以更有效地预防和应对未来的威胁。