ក្រុមហ៊ុន Microsoft ព្រមានថា ហេគឃ័រកំពុងតែដាក់ពង្រាយមេរោគនៅក្នុងការវាយប្រហារចាក់បញ្ចូលកូដ ViewState ដែលប្រើ Static ASP.NET Machine Keys ដែលបានរកឃើញនៅលើអនឡាញ។ នៅពេលអ្នកជំនាញស៊ើបអង្កេតការគំរាមកំហែង Microsoft បានរកឃើញនាពេលថ្មីៗថា អ្នកអភិវឌ្ឍខ្លះបានប្រើ ASP.NET validationKey និង DecryptionKey Keys (ដែលបានបង្កើតឡើងសម្រាប់ការពារ ViewState ពីការរំខាន និងការលាតត្រដាងព័ត៌មាន) ដែលបានរកឃើញនៅក្នុងឯកសារកូដ និង Repository Platforms នៅក្នុងកម្មវិធីផ្ទាល់ខ្លួនរបស់ពួកគេ។ ទោះជាយ៉ាងណា ហេគឃ័រក៏ប្រើ Machine Keys ពីប្រភពដែលអាចរកបានជាសាធារណៈ នៅក្នុងការវាយប្រហារចាក់បញ្ចូលកូដសម្រាប់បង្កើត ViewStates អាក្រក់ (ត្រូវបានប្រើដោយ ASP.NET Web Forms សម្រាប់គ្រប់គ្រង State និងរក្សាទំព័រ) ដោយការភ្ជាប់កូដផ្ទៀងផ្ទាត់សារ Crafted (MAC)។
នៅពេលលោត ViewStates ដែលត្រូវបានផ្ញើតាមរយៈ POST Requests, ASP.NET Runtime នៅលើម៉ាស៊ីនគោលដៅឌីគ្រីប និងមានសុពលភាព Crafted ViewState Data អាក្រក់របស់ហេគឃ័រ ព្រោះវាប្រើ Key ត្រឹមត្រូវ ដែលវាលោតនៅក្នុងដំណើរការចងចាំ និងប្រតិបត្តិវា។ រឿងនេះ អនុញ្ញាតឱ្យពួកគេប្រតិបត្តិកូដពីចម្ងាយនៅលើ IIS Server និងដាក់ពង្រាយ Payloads អាក្រក់បន្ថែមទៀត។ នៅក្នុងឧទាហរណ៍មួយដែលបានសង្កេតឃើញកាលពីចុងឆ្នាំ២០២៤ ហេគឃ័រដែលមិនបានកំណត់អត្តសញ្ញាណបានប្រើ Machine Key ល្បីពេញនិយមសម្រាប់បញ្ជូន Godzilla Post-exploitation Framework ដែលមកជាមួយនឹងការបញ្ជា Command អាក្រក់ និងសមត្ថភាពចាក់បញ្ចូល Shellcode សម្រាប់ International Information Services (IIS) Web Server គោលដៅ។ ក្រុមហ៊ុនបានថ្លែងថា ក្រុមហ៊ុនបានកំណត់អត្តសញ្ញាណមិនតិចជាង ៣,០០០ Keys ទេដែលបានបង្ហាញជាសាធារណៈ ហើយអាចត្រូវបានប្រើសម្រាប់ការវាយប្រហារប្រភេទនេះ អាចត្រូវបានហៅថាជាការវាយប្រហារចាក់បញ្ចូលកូដ ViewState។
ការវាយប្រហារចាក់បញ្ចូលកូដ ViewState ល្បីឈ្មោះជាច្រើនបានប្រើប្រាស់ Keys ដែលបានលួច ឬ ត្រូវបានសម្របសម្រួលយកទៅគ្រប់គ្រង ដែលជាទូទៅត្រូវបានដាក់លក់នៅលើវេទិការទីផ្សារងងឹត Keys ដែលត្រូវបានលាតត្រដាងជាសាធារណៈទាំងនេះអាចបង្កឱ្យមានគ្រោះថ្នាក់ខ្លាំងដោយសារតែពួកវាមាននៅក្នុង Code Repositories ចម្រុះ និងអាចត្រូវបានជំរុញនៅក្នុងការអភិវឌ្ឍកូដដោយគ្មានការកែប្រែ។ ដើម្បីបិទការវាយប្រហារបែបនេះ ក្រុមហ៊ុន Microsoft ណែនាំឱ្យអ្នកអភិវឌ្ឍបង្កើត Machine Keys ដែលសុវត្ថិភាព កុំប្រើ Default Keys ឬ Keys ដែលរកបាននៅលើអនឡាញ អ៊ីនគ្រីប MachineKey និង ConnectionStrings Elements ដើម្បីបិទដំណើរការ Plaintext Secrets និង Upgrade កម្មវិធីទៅប្រើ ASP.NET 4.8 ដើម្បីបើកសមត្ថភាព Antimalware Scan Interface (AMSI) និង Harden Windows Servers ដោយប្រើច្បាប់កាត់បន្ថយការវាយប្រហារផ្ទៃខាងមុខ (surface) ដូចជាការបង្កើត Block Webshell សម្រាប់ Servers។ ក្រុមហ៊ុន Microsoft ក៏បានចែករំលែកជំហានលម្អិតសម្រាប់លុប ឬជំនួស ASP.NET keys នៅក្នុង Web.config configuration file ដែលប្រើ PowerShell ឬ IIS Manager Console និងលុប Key Samples ចេញពីឯកសារសាធារណៈ ដើម្បីលុបបំបាត់ការអនុវត្តដែលគ្មានសុវត្ថិភាព។ ក្រុមហ៊ុន Redmond បានព្រមានថា ប្រសិនបើការបំពានលើ Keys សាធារណៈបានកើតឡើងជោគជ័យនោះ ការប្តូរ Machine Keys នឹងមិនគ្រប់គ្រាន់ក្នុងការដោះស្រាយបញ្ហា Backdoor ឬវិធីសាស្រ្តជាប់លាប់ ដែលបានបង្កើតឡើងដោយហេគឃ័រ ឬសកម្មភាពក្រោយការបំពាននោះទេ និងការស៊ើបអង្កេតបន្ថែម។ ជាពិសេស Web-facing Servers អាចត្រូវបានស៊ើបអង្កេតពេញលេញ និងពិចារណាយ៉ាងហ្មត់ចត់សម្រាប់ការ Re-formatting និង Re-installation នៅក្នុង Offline Medium ក្នុងករណីដែល Keys បង្ហាញជាសាធារណៈត្រូវបានកំណត់សម្គាល់ នៅពេលម៉ាស៊ីនមេទាំងនេះស្ថិតនៅក្នុងគ្រោះថ្នាក់នៃការបំពាន។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី០៦ ខែកុម្ភៈ ឆ្នាំ២០២៥
