{"id":308353,"date":"2025-02-08T06:57:29","date_gmt":"2025-02-08T05:57:29","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=308353"},"modified":"2025-02-10T10:34:11","modified_gmt":"2025-02-10T09:34:11","slug":"angreifer-verwenden-asp-net-key-zur-malware-verbreitung","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/02\/08\/angreifer-verwenden-asp-net-key-zur-malware-verbreitung\/","title":{"rendered":"Angreifer verwenden ASP. NET-Key zur Malware-Verbreitung"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2025\/02\/10\/attackers-use-asp-net-key-to-spread-malware\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Im Dezember 2024 beobachtete das Microsoft Threat Intelligence-Team begrenzte Aktivit\u00e4ten eines unbekannten Angreifers, der einen \u00f6ffentlich verf\u00fcgbaren, statischen ASP. NET-Maschinenschl\u00fcssel verwendet, um b\u00f6sartigen Code einzuschleusen und das Godzilla Post-Exploitation-Framework bereitzustellen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/243fdf058dd04888b0135297d00f47a9\" alt=\"\" width=\"1\" height=\"1\" \/>Das hat Microsoft die Tage im Security Blog im Beitrag <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/02\/06\/code-injection-attacks-using-publicly-disclosed-asp-net-machine-keys\/\" target=\"_blank\" rel=\"noopener\">Code injection attacks using publicly disclosed ASP.NET machine keys<\/a> \u00f6ffentlich gemacht.<\/p>\n<p><a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/02\/06\/code-injection-attacks-using-publicly-disclosed-asp-net-machine-keys\/\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/m2qhxY3m\/image.png\" alt=\"Angriff auf ASP.NET\" width=\"592\" height=\"533\" \/><\/a><\/p>\n<p>Im Laufe der Untersuchung, Behebung und Erstellung von Schutzma\u00dfnahmen gegen diese Aktivit\u00e4t haben die Experten von Microsoft festgestellt, dass Entwickler verschiedene \u00f6ffentlich bekannt gegebene ASP.NET-Maschinenschl\u00fcssel aus \u00f6ffentlich zug\u00e4nglichen Ressourcen, wie z. B. Codedokumentation und Repositories, in ihrer Software verwenden. Die Angreifer haben dann diese \u00f6ffentlich bekannten ASP.NET-Maschinenschl\u00fcssel zur Durchf\u00fchrung b\u00f6sartiger Aktionen auf Zielservern verwendet.<\/p>\n<p>Microsoft hat laut Artikel inzwischen mehr als 3.000 \u00f6ffentlich bekannt gegebene Schl\u00fcssel identifiziert, die f\u00fcr diese Art von Angriffen verwendet werden k\u00f6nnten. Diese Art der Angriffe wird als ViewState-Code-Injection bezeichnet. W\u00e4hrend bei vielen bisher bekannten ViewState-Code-Injection-Angriffen kompromittierte oder gestohlene Schl\u00fcssel verwendet wurden, die h\u00e4ufig in Dark-Web-Foren verkauft werden, stellen diese \u00f6ffentlich bekannt gegebenen Schl\u00fcssel ein h\u00f6heres Risiko dar, schreibt Microsoft, da sie in mehreren Code-Repositories verf\u00fcgbar sind und ohne \u00c4nderung in den Entwicklungscode eingef\u00fcgt worden sein k\u00f6nnten.<\/p>\n<p>Microsoft empfiehlt, dass Unternehmen keine Schl\u00fcssel aus \u00f6ffentlich zug\u00e4nglichen Quellen zu kopieren und zu verwenden, sowie die Schl\u00fcssel regelm\u00e4\u00dfig auszutauschen. Microsoft Defender for Endpoint kann laut Microsoft dazu beitragen, dieses Risiko zu verringern. Denn Microsoft Defender for Endpoint erkennt\u00a0\u00f6ffentlich zug\u00e4ngliche Schl\u00fcssel im Code. Um von dieser Praxis zu unterbinden, hat Microsoft zudem wohl Schl\u00fcsselmuster aus einigen \u00f6ffentlichen Dokumentationen entfernt.<\/p>\n<p>Mehr Details zum ViewState-Code-Injection-Angriff und der Kampagne zur Verbreitung des Godzilla Post-Exploit-Framework finden sich im Microsoft Beitrag <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/02\/06\/code-injection-attacks-using-publicly-disclosed-asp-net-machine-keys\/\" target=\"_blank\" rel=\"noopener\">Code injection attacks using publicly disclosed ASP.NET machine keys<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Im Dezember 2024 beobachtete das Microsoft Threat Intelligence-Team begrenzte Aktivit\u00e4ten eines unbekannten Angreifers, der einen \u00f6ffentlich verf\u00fcgbaren, statischen ASP. NET-Maschinenschl\u00fcssel verwendet, um b\u00f6sartigen Code einzuschleusen und das Godzilla Post-Exploitation-Framework bereitzustellen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-308353","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/308353","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=308353"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/308353\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=308353"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=308353"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=308353"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}