详细内容或原文请订阅后点击阅览
VIEWSTATE 反序列化:亲政府团体如何利用该漏洞
Solar 4RAYS 披露了该电信公司遭受 Obstinate Mogwai 攻击的详细信息。
来源:安全实验室新闻频道VIEWSTATE 反序列化:亲政府团体如何利用该漏洞
Solar 4RAYS 披露了该电信公司遭受 Obstinate Mogwai 攻击的详细信息。
2023 年,Solar 4RAYS 团队调查了亚洲 APT 组织 Obstinate Mogwai 组织的针对俄罗斯电信公司的攻击事件。黑客多次利用 ASP.NET VIEWSTATE 参数中不受信任的数据反序列化漏洞,使他们能够恢复到受感染的网络。尽管有补丁和努力消除漏洞,但随着攻击者找到绕过保护的方法,反序列化问题仍然存在。
进行了调查什么是 VIEWSTATE
VIEWSTATE 用于在发出 HTTP 请求时保存页面状态。这允许在静态 HTTP 协议中的请求之间存储数据。 ASP.NET 通过使用 ObjectStateFormatter 类来实现此目的,该类已知不可靠,可在反序列化期间用于远程代码执行 (RCE)。
漏洞历史记录
VIEWSTATE 反序列化漏洞自 2014 年 Microsoft 发布补丁 KB 290524(其中包括 MAC 验证)以来就已为人所知。然而,Alexander Herzog 和 Soroush Dalili 等研究人员表明,该漏洞在某些条件下仍然可以被利用,例如攻击者获得服务器上验证密钥的访问权限。
漏洞利用
自 2020 年以来,多个组织积极利用 VIEWSTATE 反序列化漏洞。示例包括利用 Telerik UI 漏洞、Microsoft Exchange 中的 CVE-2020-0688 进行攻击,以及下载恶意代码的其他方法。尤其值得注意的是螳螂和 APT41 组织的攻击,它们使用各种反序列化方法来渗透系统。