Im Dezember 2024 beobachtete das Microsoft Threat Intelligence-Team begrenzte Aktivitäten eines unbekannten Angreifers, der einen öffentlich verfügbaren, statischen ASP. NET-Maschinenschlüssel verwendet, um bösartigen Code einzuschleusen und das Godzilla Post-Exploitation-Framework bereitzustellen.
Anzeige
Das hat Microsoft die Tage im Security Blog im Beitrag Code injection attacks using publicly disclosed ASP.NET machine keys öffentlich gemacht.
Im Laufe der Untersuchung, Behebung und Erstellung von Schutzmaßnahmen gegen diese Aktivität haben die Experten von Microsoft festgestellt, dass Entwickler verschiedene öffentlich bekannt gegebene ASP.NET-Maschinenschlüssel aus öffentlich zugänglichen Ressourcen, wie z. B. Codedokumentation und Repositories, in ihrer Software verwenden. Die Angreifer haben dann diese öffentlich bekannten ASP.NET-Maschinenschlüssel zur Durchführung bösartiger Aktionen auf Zielservern verwendet.
Microsoft hat laut Artikel inzwischen mehr als 3.000 öffentlich bekannt gegebene Schlüssel identifiziert, die für diese Art von Angriffen verwendet werden könnten. Diese Art der Angriffe wird als ViewState-Code-Injection bezeichnet. Während bei vielen bisher bekannten ViewState-Code-Injection-Angriffen kompromittierte oder gestohlene Schlüssel verwendet wurden, die häufig in Dark-Web-Foren verkauft werden, stellen diese öffentlich bekannt gegebenen Schlüssel ein höheres Risiko dar, schreibt Microsoft, da sie in mehreren Code-Repositories verfügbar sind und ohne Änderung in den Entwicklungscode eingefügt worden sein könnten.
Anzeige
Microsoft empfiehlt, dass Unternehmen keine Schlüssel aus öffentlich zugänglichen Quellen zu kopieren und zu verwenden, sowie die Schlüssel regelmäßig auszutauschen. Microsoft Defender for Endpoint kann laut Microsoft dazu beitragen, dieses Risiko zu verringern. Denn Microsoft Defender for Endpoint erkennt öffentlich zugängliche Schlüssel im Code. Um von dieser Praxis zu unterbinden, hat Microsoft zudem wohl Schlüsselmuster aus einigen öffentlichen Dokumentationen entfernt.
Mehr Details zum ViewState-Code-Injection-Angriff und der Kampagne zur Verbreitung des Godzilla Post-Exploit-Framework finden sich im Microsoft Beitrag Code injection attacks using publicly disclosed ASP.NET machine keys.
Anzeige
>publicly disclosed
>
Ist das Orwellsches Sprech für "haben wir selbst verbockt und die verschlampt". Es ist einfach nur bezeichnend mit was für einer Gleichgültigkeit uns die Firmen veralbern.
Leakts eich doch selbst! Sagt der Bayer.