Microsoft предупреждает о новом коварном способе распространения вредоносных программ.

Атаки, связанные с внедрением вредоносного кода через ViewState, могут привести к удаленному выполнению кода, предупредила команда Microsoft Threat Intelligence. Многие разработчики не генерируют собственные machine keys для защиты данных ViewState.

По данным анализа команды исследователей безопасности Microsoft, хакеры злоупотребляют уязвимостью в сайтах на платформе ASP.NET для удаленного выполнения вредоносного кода. В статье объясняется, что злоумышленники внедряют вредоносный код через метод, известный как ViewState code injection attacks.

ViewState — это функция в сайтах на платформе ASP.NET, которая помогает запоминать пользовательские данные и настройки страниц после обновления. Эта информация хранится в скрытой части веб-страницы, чтобы при повторном взаимодействии с ней сервер мог восстановить сохраненные данные без их потери.

Принятие вредоносного кода
Оказалось, что многие разработчики используют machine keys (защитные коды для ViewState данных), найденные ими онлайн вместо генерации собственных. Эти machine keys предназначены для предотвращения подмены данных ViewState, которые отслеживают взаимодействие пользователей с веб-страницами. Однако если разработчики могут найти эти ключи, то это могут сделать и преступники.

Когда хакеры находят эти ключи, они используют их для внедрения опасного содержимого в ViewState сайта. Поскольку machine key совпадает с ожидаемым сайтом, сервер расшифровывает и обрабатывает вредоносный код, позволяя атакующим выполнять свои команды на сервере. Это может привести к удаленному выполнению кода, предупреждает Microsoft.

Исследователи обнаружили более 3000 публично доступных ключей, которые могут быть использованы в этих атаках. В некоторых случаях разработчики могут случайно внедрять эти открытые ключи в свои коды.

Чтобы предотвратить такие атаки, Microsoft рекомендует генерировать собственные machine keys, избегать использования стандартных или публично доступных ключей и защищать конфиденциальные данные путем шифрования частей конфигурационных файлов. Также рекомендуется обновиться до более новых версий ASP.NET и использовать функции безопасности, такие как Antimalware Scan Interface (AMSI).

Microsoft также предоставила инструкции по удалению или замене неsecure machine keys из конфигурационных файлов сервера и удалила примеры этих ключей из публичной документации, чтобы предотвратить небезопасную практику.