Microsoft advierte sobre una actos insegura en la que los desarrolladores de software incorporan claves de máquina ASP.NET divulgadas públicamente de capital de comunicación sabido, lo que pone sus aplicaciones en la ruta de los atacantes.
El equipo de inteligencia de amenazas del hércules tecnológico dijo que observó una actividad limitada en diciembre de 2024 que involucraba a un actor de amenaza desconocido que usaba una secreto de máquina ASP.NET estática adecuado públicamente para inyectar código receloso y entregar el entorno de Godzilla a posteriori de la explotación.
Todavía señaló que ha identificado más de 3.000 claves divulgadas públicamente que podrían estar de moda para este tipo de ataques, lo que fuego a los ataques de inyección de código ViewState.
“Mientras que muchos ataques de inyección de código ViewState previamente conocidos utilizaron claves comprometidas o robadas que a menudo se venden en foros web oscuros, estas claves divulgadas públicamente podrían representar un aventura más suspensión porque están disponibles en múltiples repositorios de código y podrían haberse empujado al código de expansión sin modificar “, Dijo Microsoft.
ViewState es un método utilizado en el entorno ASP.NET para preservar la página y controlar los títulos entre las devoluciones. Esto todavía puede incluir datos de aplicación que son específicos de una página.
“De modo predeterminada, la horizonte de datos de estado se almacena en la página en un campo oculto y se codifica utilizando la codificación Base64”, señala Microsoft en su documentación. “Adicionalmente, se crea un hash de los datos de estado de horizonte a partir de los datos utilizando una tecla de código de autenticación de máquina (Mac). El valencia hash se agrega a los datos de estado de horizonte codificados y la sujeción resultante se almacena en la página”.
Al usar un valencia hash, la idea es comprobar de que los datos del estado de horizonte no hayan sido corrompidos o manipulados por actores maliciosos. Dicho esto, si estas llaves son robadas o se hacen accesibles para terceros no autorizados, abre la puerta a un atmósfera en el que el actor de amenaza puede emplear las teclas para dirigir una solicitud Maliciosa ViewState y ejecutar código infundado.
“Cuando la solicitud es procesada por ASP.NET Runtime en el servidor dirigido, el ViewState se descifra y se valida con éxito porque se usan las claves correctas”, señaló Redmond. “El código receloso se carga en la memoria del proceso del trabajador y se ejecuta, proporcionando las capacidades de ejecución del código remoto del actor de amenaza en el servidor web IIS de destino”.
Microsoft ha proporcionado una cinta de títulos hash para las claves de la máquina divulgadas públicamente, instando a los clientes a verificarlos con las claves de la máquina utilizadas en sus entornos. Todavía advirtió que en el caso de una explotación exitosa de las claves reveladas públicamente, simplemente rodar las teclas no será suficiente ya que los actores de amenaza ya pueden favor establecido persistencia en el hospedador.
Para mitigar el aventura planteado por tales ataques, se recomienda no copiar claves de fuentes disponibles públicamente y que gire regularmente las claves. Como otro paso para disuadir a los actores de amenaza, Microsoft dijo que eliminó los artefactos secreto de “instancias limitadas” donde se incluyeron en su documentación.
El expansión se produce cuando la compañía de seguridad en la estrato Aqua reveló detalles de un bypass de OPA Gatekeeper que podría explotarse para realizar acciones no autorizadas en entornos de Kubernetes, incluida la implementación de imágenes de contenedores no autorizadas.
“En la política de K8SallowedRepos, surge un aventura de seguridad de cómo la método REGO se escribe en el archivo RestrictTTemplate”, dijeron los investigadores Yakir Kadkoda y Assaf Morag en un investigación compartido con The Hacker News.
“Este aventura se amplifica aún más cuando los usuarios definen títulos en el archivo YAML de restricción que no se alinean con la forma en que la método de REGO los procesa. Este desajuste puede provocar que los silenciar la política, lo que hace que las restricciones sean ineficaces”.
