IT之家 2 月 7 日消息，科技媒體 bleepingcomputer 昨日（2 月 6 日）發(fā)布博文，報道稱微軟發(fā)出示警，有攻擊者正利用網(wǎng)上公開的 ASP.NET 靜態(tài)密鑰，通過 ViewState 代碼注入攻擊部署惡意軟件。

微軟威脅情報專家近期發(fā)現(xiàn)，一些開發(fā)者在軟件開發(fā)中使用了在代碼文檔和代碼庫平臺上公開的 ASP.NET validationKey 和 decryptionKey 密鑰（這些密鑰原本設(shè)計用于保護 ViewState 免遭篡改和信息泄露）。

然而，攻擊者也利用這些公開的密鑰進行代碼注入攻擊，通過附加偽造的消息認證碼（MAC）創(chuàng)建惡意 ViewState（ViewState 由 ASP.NET Web 窗體用于控制狀態(tài)和保存頁面信息）。

攻擊者通過 POST 請求將惡意 ViewState 發(fā)送到目標服務(wù)器，目標服務(wù)器上的 ASP.NET Runtime 使用正確的密鑰解密，并驗證了攻擊者偽造的 ViewState 數(shù)據(jù)，隨后將惡意 ViewState 加載到工作進程內(nèi)存中并執(zhí)行，讓攻擊者得以在 IIS 服務(wù)器上遠程執(zhí)行代碼并部署其他惡意載荷。

IT之家援引博文介紹，微軟于 2024 年 12 月觀察到一起攻擊事件，攻擊者使用公開的密鑰向目標互聯(lián)網(wǎng)信息服務(wù)（IIS） Web 服務(wù)器部署了 Godzilla 后滲透框架，該框架具有惡意命令執(zhí)行和 Shellcode 注入功能。

微軟已識別出超過 3000 個公開的密鑰，這些密鑰都可能被用于 ViewState 代碼注入攻擊。以往已知的 ViewState 代碼注入攻擊多使用從暗網(wǎng)論壇購買的被盜密鑰，而這些公開的密鑰存在于多個代碼庫中，開發(fā)者可能直接將其復制到代碼中而未進行修改，因此風險更高。

微軟還分享了使用 PowerShell 或 IIS 管理器控制臺在 web.config 配置文件中移除或替換 ASP.NET 密鑰的詳細步驟，并從其公開文檔中刪除了密鑰示例，以進一步阻止這種不安全的做法。

微軟警告，如果已經(jīng)發(fā)生利用公開密鑰的攻擊，僅僅輪換密鑰不足以解決攻擊者可能建立的后門或持久化機制以及其他后滲透活動，可能需要進一步調(diào)查。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。