Проблема связана с разработчиками, использующими статические ключи ASP.NET Machine Keys, найденные в открытых источниках, таких как документация по коду и репозитории.
Machine Keys предназначены для защиты ViewState от подделки и утечек данных. Однако хакеры находят публично доступные ключи и используют их для создания вредоносных ViewState, содержащих специально подготовленный код аутентификации сообщений (Message Authentication Code, MAC). При обработке таких ViewState IIS-сервер загружает их в память рабочего процесса и выполняет, что позволяет атакующим исполнять код удалённо и загружать дополнительное вредоносное ПО.
Microsoft выявила более 3000 публично доступных machine keys, которые могут быть использованы для подобных атак.
«Человеческий фактор нередко приводит к печальным результатам, разработчикам следует понимать, что статические ключи должны быть уникальными и защищёнными. Размещение таких данных в открытых репозиториях или документах эквивалентно предоставлению злоумышленникам несанкционированного доступа к системе. Чтобы защититься от несанкционированного доступа и выполнения вредоносного кода, рекомендуется иметь софт, позволяющий отслеживать возможные вредоносные процессы на устройстве: это те, что отклоняются от базовой линии поведения. И, например, платформа расширенной аналитики Ankey ASAP благодаря анализу действий пользователей и устройств сигнализирует о возможной вредоносной активности, позволяя прервать цепочку событий», — говорит киберэксперт компании «Газинформсервис» Михаил Спицын. Читайте также Ильдар Шербанов: «ИИ не заменит человека, но сократит R&D в несколько раз» Как цифровизация меняет фармацевтическое производство, почему переход на ERP — процесс «от года и до бесконечности» и с какими вызовами сталкиваются ИТ-специалисты в фарме? В интервью журналу IT Manager Ильдар Шербанов, ИТ-директор компании «Эллара», рассказал о роли BI и видеоаналитики на производстве, перспективах ИИ в разработке лекарств и о том, как найти баланс между безопасностью, автоматизацией и жесткой регуляторикой.
Источник: www.it-world.ru
