ð Microsoft āđāļāđāļāđāļāļ·āļāļāļāļēāļĢāđāļāļĄāļāļĩāļāđāļēāļ ASP.NET Machine Key āđāļĨāļ° ASP.NET Core
-
āļĻāļđāļāļĒāđāļāļĢāļ°āļŠāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļĢāļ°āļāļāļāļāļĄāļāļīāļ§āđāļāļāļĢāđāđāļŦāđāļāļāļēāļāļī (ThaiCERT) āđāļāđāļāļīāļāļāļēāļĄāļŠāļāļēāļāļāļēāļĢāļāđāļāđāļēāļ§āļŠāļēāļĢāļ āļąāļĒāļāļļāļāļāļēāļĄāļāļēāļāđāļāđāļāļāļĢāđ āļāļ Microsoft āļāļāļāļĄāļēāļāļĢāļāļēāļĢāļāđāļāļāļāļąāļāđāļĨāļ°āđāļāđāđāļāļāđāļāļāđāļŦāļ§āđāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāđāļ ASP.NET Machine Key āđāļĨāļ° ASP.NET Core [1]
- āļĢāļēāļĒāļĨāļ°āđāļāļĩāļĒāļāļāđāļāļāđāļŦāļ§āđ
āļāļĢāļīāļĐāļąāļ Microsoft āđāļāđāļāļāļāļāļĢāļ°āļāļēāļĻāđāļāđāļāđāļāļ·āļāļāļāđāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāđāļāđāļāļāļĢāđāđāļāļĩāđāļĒāļ§āļāļąāļāļāļēāļĢāđāļāļĄāļāļĩāļāļĩāđāļĄāļļāđāļāđāļāđāļēāđāļāļĒāļąāļāļĢāļ°āļāļāđāļ§āđāļāđāļāļāļāļĨāļīāđāļāļāļąāļāļāļĩāđāļāļąāļāļāļēāļāđāļ§āļĒ ASP.NET āđāļĨāļ° ASP.NET Core āļŦāļĄāļēāļĒāđāļĨāļ CVE-2026-45585 (CVSS v3.1: 6.8) āļŦāļĢāļ·āļāļāļĩāđāđāļĢāļĩāļĒāļāļ§āđāļē âYellowKeyâ āđāļāļĒāļāļāļ§āđāļēāļāļđāđāđāļĄāđāļŦāļ§āļąāļāļāļĩāļŠāļēāļĄāļēāļĢāļāđāļāđ Machine Key āļāļĩāđāđāļāļīāļāđāļāļĒāļŠāļđāđāļŠāļēāļāļēāļĢāļāļ° āļŦāļĢāļ·āļāđāļāđāļāļĢāļ°āđāļĒāļāļāđāļāļēāļāļāđāļāļāđāļŦāļ§āđāļāđāļēāļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļ Cryptographic Signature Verification āđāļāļ·āđāļāļāļĨāļāļĄāđāļāļĨāļāļāđāļāļĄāļđāļĨāļĒāļ·āļāļĒāļąāļāļāļąāļ§āļāļāđāļĨāļ°āļĒāļāļĢāļ°āļāļąāļāļŠāļīāļāļāļīāđāđāļāļĢāļ°āļāļāđāļāđ [2]
āļāļąāđāļāļāļĩāđ āļŦāļāđāļ§āļĒāļāļēāļāļŠāļēāļĄāļēāļĢāļāļāļđāļĢāļēāļĒāļĨāļ°āđāļāļĩāļĒāļāđāļāļīāđāļĄāđāļāļīāļĄāđāļāđāļāļĩāđ https://dg.th/wc6dv0xjog
-
āļĢāļ°āļāļāļāļĩāđāđāļāđāļĢāļąāļāļāļĨāļāļĢāļ°āļāļ āđāļāđāđāļāđ
âĒ Microsoft.AspNetCore.DataProtection āđāļ§āļāļĢāđāļāļąāļ 10.0.0 āļāļķāļ 10.0.6 āđāļāļĒāđāļāļāļēāļ°āļĢāļ°āļāļāļāļĩāđāļāļģāļāļēāļāļāļ Linux, macOS āđāļĨāļ°āļĢāļ°āļāļ Non-Windows -
āļāļĪāļāļīāļāļĢāļĢāļĄāļāļēāļĢāđāļāļĄāļāļĩ
āļāļđāđāđāļāļĄāļāļĩāļŠāļēāļĄāļēāļĢāļāđāļāđ Machine Keys āļāļĩāđāļĢāļąāđāļ§āđāļŦāļĨāļŦāļĢāļ·āļāļāļđāļāđāļāļĒāđāļāļĢāđāļŠāļēāļāļēāļĢāļāļ° āļŠāļĢāđāļēāļ ViewState āļāļĨāļāļĄāļāļĩāđāļāđāļēāļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļāļāļ§āļēāļĄāļāļđāļāļāđāļāļāļāļāļāļĢāļ°āļāļ ASP.NET āđāļāđ āđāļĄāļ·āđāļāđāļāļīāļĢāđāļāđāļ§āļāļĢāđāļāļĢāļ°āļĄāļ§āļĨāļāļĨāļāđāļāļĄāļđāļĨāļāļąāļāļāļĨāđāļēāļ§ āļĢāļ°āļāļāļāļ°āļāļģāļāļēāļĢāļāļāļāļĢāļŦāļąāļŠāđāļĨāļ°āļĢāļąāļāđāļāđāļāļāļąāļāļāļĢāļēāļĒāļ āļēāļĒāđāļāļŦāļāđāļ§āļĒāļāļ§āļēāļĄāļāļģāļāļāļ IIS Web Server āļŠāđāļāļāļĨāđāļŦāđāļāļđāđāđāļāļĄāļāļĩāļŠāļēāļĄāļēāļĢāļāļāļ§āļāļāļļāļĄāļĢāļ°āļāļāļāļēāļāļĢāļ°āļĒāļ°āđāļāļĨ (Remote Code Execution: RCE) -
āļāļĨāļāļĢāļ°āļāļ
4.1 āđāļāđāļēāļāļ§āļāļāļļāļĄāđāļ§āđāļāđāļāļīāļĢāđāļāđāļ§āļāļĢāđāļŦāļĢāļ·āļāļĢāļ°āļāļāļāļēāļāļŠāļģāļāļąāļ
4.2 āđāļāđāļēāļāļķāļāļāđāļāļĄāļđāļĨāļŠāļģāļāļąāļāļŦāļĢāļ·āļāļāđāļāļĄāļđāļĨāļŠāđāļ§āļāļāļļāļāļāļĨ āļĢāļ§āļĄāļāļķāļāđāļāđāđāļāļāđāļāļĄāļđāļĨāļŠāļģāļāļąāļāļ āļēāļĒāđāļāļĢāļ°āļāļ
4.3 āļāļĨāļāļĄāđāļāļĨāļ Session, Cookie āļŦāļĢāļ·āļ Password Reset Token
4.4 āđāļāđāļĢāļ°āļāļāļāļĩāđāļāļđāļāđāļāļĄāļāļĩāđāļāđāļāļāļēāļāļŠāļģāļŦāļĢāļąāļāđāļāļĄāļāļĩāļĢāļ°āļāļāļāļ·āđāļāļ āļēāļĒāđāļāļāļāļāđāļāļĢ
4.5 āđāļāđāđāļāļŦāļĢāļ·āļāļĨāļāļāđāļāļĄāļđāļĨāļŠāļģāļāļąāļāļāļāļāļāļāļāđāļāļĢ -
āđāļāļ§āļāļēāļāļāļēāļĢāļāđāļāļāļāļąāļāđāļĨāļ°āļĨāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļ
5.1 āļāļąāļāđāļāļ Microsoft.AspNetCore.DataProtection āđāļāđāļāđāļ§āļāļĢāđāļāļąāļ 10.0.7 āļŦāļĢāļ·āļāđāļ§āļāļĢāđāļāļąāļāļĨāđāļēāļŠāļļāļāđāļāļĒāļāļąāļāļāļĩ
5.2 āļāļĢāļ§āļāļŠāļāļāđāļāļĨāđ web.config āđāļĨāļ°āļāļēāļĢāļāļąāđāļāļāđāļēāļāļāļ IIS āļ§āđāļēāļĄāļĩāļāļēāļĢāļāļģāļŦāļāļāļāđāļē Machine Keys āđāļāļ Static āļŦāļĢāļ·āļāđāļĄāđ
5.3 āļāļĢāļ§āļāļŠāļāļāļĢāļ°āļāļāļĒāđāļāļāļŦāļĨāļąāļāđāļāļ·āđāļāļāđāļāļŦāļēāļĢāđāļāļāļĢāļāļĒāļāļēāļĢāļāļąāļ Web Shell, Godzilla Framework āđāļāđāļāļāđāļ -
āļĄāļēāļāļĢāļāļēāļĢāļāļąāđāļ§āļāļĢāļēāļ§ (āļāļĢāļāļĩāļĒāļąāļāđāļĄāđāļŠāļēāļĄāļēāļĢāļāļāļąāļāđāļāļāđāļāđāļāļąāļāļāļĩ)
6.1 Rotate ASP.NET Machine Keys āđāļĨāļ° Data Protection Keys āđāļŦāļĄāđāļāļąāļāļāļĩ āđāļāļĒāļŠāļĢāđāļēāļāļāļļāļāđāļāđāļŦāļĄāđāļāļĩāđāļĄāļĩāļāļ§āļēāļĄāļāļąāļāļāđāļāļāļŠāļđāļ āđāļĨāļ°āđāļĄāđāđāļāđāļāđāļēāļāļĩāđāļāļąāļāļĨāļāļāļāļēāļāļŠāļēāļāļēāļĢāļāļ° āļŦāļĢāļ·āļ Git Repository
6.2 āļāļīāļāļāļēāļĢāđāļāđāļāļēāļ Machine Keys āđāļāļ Static
6.3 āļāļģāļāļąāļāļāļēāļĢāđāļāđāļēāļāļķāļāļĢāļ°āļāļāļāļēāļāļ āļēāļĒāļāļāļ
6.4 āđāļāļīāļāđāļāđāļāļēāļ Web Application Firewall (WAF)
6.5 āļāļīāļāļāļąāļāļāđāļāļąāļāļŦāļĢāļ·āļāļāļĢāļīāļāļēāļĢāļāļĩāđāđāļĄāđāļāļģāđāļāđāļāļāļąāđāļ§āļāļĢāļēāļ§
6.6 āļāļąāļāļāļąāļ Reset Session āđāļĨāļ° Authentication Token āđāļāđāļāļĢāļ°āļĒāļ°
āđāļŦāļĨāđāļāļāđāļēāļāļāļīāļ
[1] https://dg.th/tfcokpxrz0
[2] https://dg.th/wuarfe8z9j
- āļĢāļēāļĒāļĨāļ°āđāļāļĩāļĒāļāļāđāļāļāđāļŦāļ§āđ
