Microsoft təhlükəsizlik komandasına görə, ASP.NET veb saytlarındakı zəifliyi istismar edərək cyberbədbaxçılar suiistimal edirlər. Şirkət, yeni üsulu ətraflı şəkildə təhlil edən bir məqalə dərc etmişdir. Məqalədə Microsoft, təhlükə aktorlarının ViewState kodunun injeksiya hücumları vasitəsilə kötü niyyətli kod enjekte etdiklərini izah edir.

ViewState, ASP.NET veb saytlarında istifadə olunan bir xüsusiyyətdir ki, səhifə yenidlənəndə istifadəçinin daxil etdiyi məlumatları və səhifə parametrlərini yadda saxlamağa kömək edir. Bu məlumatları səhifənin gizli hissəsində saxlayır və istifadəçinin yenidən səhifə ilə birbaşa əlaqə yaratdığında saxlanmış məlumatları yenidən yükləməsinə imkan verir.

Microsoft təhlükəsizlik kodlarının özünü yaratmaq yerinə onları onlayn tapdıqları machine key-ləri (veb saytın ViewState məlumatını qoruyan təhlükəsizlik kodları) istifadə etdiklərini bildirir. Bu machine keyləri təhluksiz plandakı ViewState-də manipulyasiyaya mane olmağa məqsəd götürür. Lakin, əgər inkişafçılar bu keyləri tapa bilərsə, buna bənzər dələduzluqçular da tapa bilərlər. Onlar tapdıqlarında bu keyləri veb saytın ViewState-nə ziyanverici məzmun enjekte etmək üçün istifadə edə bilərlər. Çünki machine key, veb saytın gözlədiyi ilə eynidir, server zərərli kodu dekriptləyir və icra edir, bu da hücumçulara serverdə öz əmrini icra etməyə imkan verir. Bu, Microsoftun qeyd etdiyi kimi uzaqdan kodun icrasına səbəb ola bilə
Tədqiqatçılar bu hücumlar üçün 3,000-dən çox rəsmi açıqlanmış key tapdılar. Bəzi hallarda, tədqiqatçılar əlavə edirlər, inkişafçılar bu rəsmi açıqlanmış keyləri kodlarına bilmədən sürüşdürə bilərlər.

Bu hücumları qarşısını almaq üçün, Microsoft inkişafçıları öz machine keylərini yaratmaq, standart və ya rəsmi olmayan keyləri istifadə etməmək və duyarlı məlumatları qorumaq üçün konfiqurasiya fayllarının bəzi hisslərini şifrələyərək təmin etməyi tövsiyə edir. Yeni bir ASP.NET versiyasına keçid də tövsiyə olunur, habelə Antimalware Scan Interface (AMSI) kimi təhlükəsizlik xüsusiyyətlərindən istifadə etmək məsləhət görülür.

Microsoft həmçinin serverin konfiqurasiya fayllarından təhlükəsiz olmayan machine keylərini silmək və ya əvəz etmək üçün təlimatlar təmin etdi və bu keylərin nümunələrini ictimai sənədlərindən silərək təhlükəsiz olmayan praktikaları ifşa etməyə çalışdı.