- 13,891
- 20
- 8 Ноя 2022
В Solar 4RAYS раскрыли детали атаки Obstinate Mogwai на телеком-компанию.
В 2023 году команда Solar 4RAYS Для просмотра ссылки Войдиили Зарегистрируйся атаки на российскую телекоммуникационную компанию, организованную азиатской APT-группировкой Obstinate Mogwai. Хакеры неоднократно использовали уязвимость десериализации ненадежных данных в параметре VIEWSTATE ASP.NET, что позволило им возвращаться в скомпрометированную сеть. Несмотря на патчи и усилия по устранению уязвимостей, проблема десериализации остается актуальной, так как злоумышленники находят способы обхода защиты.
<h3 style="border: 0px solid #e3e3e3; color: #0d0d0d;">Что такое VIEWSTATE</h3> VIEWSTATE в ASP.NET используется для сохранения состояния страницы при выполнении HTTP-запросов. Это позволяет сохранять данные между запросами в статичном протоколе HTTP. В ASP.NET для этого применяется класс ObjectStateFormatter, который известен своей ненадежностью и может быть использован для удаленного выполнения кода (RCE) при десериализации.
<h3 style="border: 0px solid #e3e3e3; color: #0d0d0d;">История уязвимости</h3> Уязвимость десериализации VIEWSTATE известна с 2014 года, когда Microsoft выпустила патч KB 290524, включающий MAC-валидацию. Однако исследователи, такие как Александр Херцог и Соруш Далили, показали, что уязвимость остается эксплуатируемой при определенных условиях, например, если злоумышленник получает доступ к ключам валидации на сервере.
<h3 style="border: 0px solid #e3e3e3; color: #0d0d0d;">Эксплуатация уязвимости</h3> С 2020 года несколько группировок активно использовали уязвимость десериализации VIEWSTATE. Примеры включают атаки с использованием уязвимостей Telerik UI, CVE-2020-0688 в Microsoft Exchange, и другие методы загрузки вредоносного кода. Особенно примечательны атаки группировок Praying Mantis и APT41, которые использовали разнообразные методы десериализации для проникновения в системы.
<h3 style="border: 0px solid #e3e3e3; color: #0d0d0d;">Текущие угрозы</h3> В конце 2023 года группировка Obstinate Mogwai использовала уязвимость десериализации VIEWSTATE для атак на российскую телеком-компанию. Они применяли powershell-команды и загружали вредоносные инструменты на серверы Exchange. Несмотря на удаление веб-шеллов, хакеры продолжали выполнять команды через десериализацию VIEWSTATE, подтвержденную логами и событиями с ID 1316 в Windows.
<h3 style="border: 0px solid #e3e3e3; color: #0d0d0d;">Обнаружение и митигация</h3> Для обнаружения атак десериализации рекомендуется анализировать события с ID 1316, проверять base64-кодированные VIEWSTATE и использовать инструменты для декодирования и анализа этих данных. Патчи и обновления от Microsoft усложняют эксплуатацию уязвимости, но не устраняют её полностью. Важно следить за новыми методами и гаджетами, такими как ActivitySurrogateDisableTypeCheck, которые могут использоваться злоумышленниками.
Уязвимость десериализации VIEWSTATE представляет собой серьезную угрозу, особенно когда она используется продвинутыми группировками для целевых атак. Постоянное обновление систем, анализ логов и применение современных методов защиты могут значительно уменьшить риски компрометации. Эксперты Solar 4RAYS рекомендуют организациям тщательно следить за безопасностью своих веб-приложений и использовать комплексные подходы к защите от подобных атак.
В 2023 году команда Solar 4RAYS Для просмотра ссылки Войди
<h3 style="border: 0px solid #e3e3e3; color: #0d0d0d;">Что такое VIEWSTATE</h3> VIEWSTATE в ASP.NET используется для сохранения состояния страницы при выполнении HTTP-запросов. Это позволяет сохранять данные между запросами в статичном протоколе HTTP. В ASP.NET для этого применяется класс ObjectStateFormatter, который известен своей ненадежностью и может быть использован для удаленного выполнения кода (RCE) при десериализации.
<h3 style="border: 0px solid #e3e3e3; color: #0d0d0d;">История уязвимости</h3> Уязвимость десериализации VIEWSTATE известна с 2014 года, когда Microsoft выпустила патч KB 290524, включающий MAC-валидацию. Однако исследователи, такие как Александр Херцог и Соруш Далили, показали, что уязвимость остается эксплуатируемой при определенных условиях, например, если злоумышленник получает доступ к ключам валидации на сервере.
<h3 style="border: 0px solid #e3e3e3; color: #0d0d0d;">Эксплуатация уязвимости</h3> С 2020 года несколько группировок активно использовали уязвимость десериализации VIEWSTATE. Примеры включают атаки с использованием уязвимостей Telerik UI, CVE-2020-0688 в Microsoft Exchange, и другие методы загрузки вредоносного кода. Особенно примечательны атаки группировок Praying Mantis и APT41, которые использовали разнообразные методы десериализации для проникновения в системы.
<h3 style="border: 0px solid #e3e3e3; color: #0d0d0d;">Текущие угрозы</h3> В конце 2023 года группировка Obstinate Mogwai использовала уязвимость десериализации VIEWSTATE для атак на российскую телеком-компанию. Они применяли powershell-команды и загружали вредоносные инструменты на серверы Exchange. Несмотря на удаление веб-шеллов, хакеры продолжали выполнять команды через десериализацию VIEWSTATE, подтвержденную логами и событиями с ID 1316 в Windows.
<h3 style="border: 0px solid #e3e3e3; color: #0d0d0d;">Обнаружение и митигация</h3> Для обнаружения атак десериализации рекомендуется анализировать события с ID 1316, проверять base64-кодированные VIEWSTATE и использовать инструменты для декодирования и анализа этих данных. Патчи и обновления от Microsoft усложняют эксплуатацию уязвимости, но не устраняют её полностью. Важно следить за новыми методами и гаджетами, такими как ActivitySurrogateDisableTypeCheck, которые могут использоваться злоумышленниками.
Уязвимость десериализации VIEWSTATE представляет собой серьезную угрозу, особенно когда она используется продвинутыми группировками для целевых атак. Постоянное обновление систем, анализ логов и применение современных методов защиты могут значительно уменьшить риски компрометации. Эксперты Solar 4RAYS рекомендуют организациям тщательно следить за безопасностью своих веб-приложений и использовать комплексные подходы к защите от подобных атак.
- Источник новости
- www.securitylab.ru
