<![CDATA[🛑 Microsoft āđāļˆāđ‰āļ‡āđ€āļ•āļ·āļ­āļ™āļāļēāļĢāđ‚āļˆāļĄāļ•āļĩāļœāđˆāļēāļ™ ASP.NET Machine Key āđāļĨāļ° ASP.NET Core]]>āļĻāļđāļ™āļĒāđŒāļ›āļĢāļ°āļŠāļēāļ™āļāļēāļĢāļĢāļąāļāļĐāļēāļ„āļ§āļēāļĄāļĄāļąāđˆāļ™āļ„āļ‡āļ›āļĨāļ­āļ”āļ āļąāļĒāļĢāļ°āļšāļšāļ„āļ­āļĄāļžāļīāļ§āđ€āļ•āļ­āļĢāđŒāđāļŦāđˆāļ‡āļŠāļēāļ•āļī (ThaiCERT) āđ„āļ”āđ‰āļ•āļīāļ”āļ•āļēāļĄāļŠāļ–āļēāļ™āļāļēāļĢāļ“āđŒāļ‚āđˆāļēāļ§āļŠāļēāļĢāļ āļąāļĒāļ„āļļāļāļ„āļēāļĄāļ—āļēāļ‡āđ„āļ‹āđ€āļšāļ­āļĢāđŒ āļžāļš Microsoft āļ­āļ­āļāļĄāļēāļ•āļĢāļāļēāļĢāļ›āđ‰āļ­āļ‡āļāļąāļ™āđāļĨāļ°āđāļāđ‰āđ„āļ‚āļŠāđˆāļ­āļ‡āđ‚āļŦāļ§āđˆāļ„āļ§āļēāļĄāļ›āļĨāļ­āļ”āļ āļąāļĒāđƒāļ™ ASP.NET Machine Key āđāļĨāļ° ASP.NET Core [1]

  1. āļĢāļēāļĒāļĨāļ°āđ€āļ­āļĩāļĒāļ”āļŠāđˆāļ­āļ‡āđ‚āļŦāļ§āđˆ
    āļšāļĢāļīāļĐāļąāļ— Microsoft āđ„āļ”āđ‰āļ­āļ­āļāļ›āļĢāļ°āļāļēāļĻāđāļˆāđ‰āļ‡āđ€āļ•āļ·āļ­āļ™āļ”āđ‰āļēāļ™āļ„āļ§āļēāļĄāļĄāļąāđˆāļ™āļ„āļ‡āļ›āļĨāļ­āļ”āļ āļąāļĒāđ„āļ‹āđ€āļšāļ­āļĢāđŒāđ€āļāļĩāđˆāļĒāļ§āļāļąāļšāļāļēāļĢāđ‚āļˆāļĄāļ•āļĩāļ—āļĩāđˆāļĄāļļāđˆāļ‡āđ€āļ›āđ‰āļēāđ„āļ›āļĒāļąāļ‡āļĢāļ°āļšāļšāđ€āļ§āđ‡āļšāđāļ­āļ›āļžāļĨāļīāđ€āļ„āļŠāļąāļ™āļ—āļĩāđˆāļžāļąāļ’āļ™āļēāļ”āđ‰āļ§āļĒ ASP.NET āđāļĨāļ° ASP.NET Core āļŦāļĄāļēāļĒāđ€āļĨāļ‚ CVE-2026-45585 (CVSS v3.1: 6.8) āļŦāļĢāļ·āļ­āļ—āļĩāđˆāđ€āļĢāļĩāļĒāļāļ§āđˆāļē “YellowKey” āđ‚āļ”āļĒāļžāļšāļ§āđˆāļēāļœāļđāđ‰āđ„āļĄāđˆāļŦāļ§āļąāļ‡āļ”āļĩāļŠāļēāļĄāļēāļĢāļ–āđƒāļŠāđ‰ Machine Key āļ—āļĩāđˆāđ€āļ›āļīāļ”āđ€āļœāļĒāļŠāļđāđˆāļŠāļēāļ˜āļēāļĢāļ“āļ° āļŦāļĢāļ·āļ­āđƒāļŠāđ‰āļ›āļĢāļ°āđ‚āļĒāļŠāļ™āđŒāļˆāļēāļāļŠāđˆāļ­āļ‡āđ‚āļŦāļ§āđˆāļ”āđ‰āļēāļ™āļāļēāļĢāļ•āļĢāļ§āļˆāļŠāļ­āļš Cryptographic Signature Verification āđ€āļžāļ·āđˆāļ­āļ›āļĨāļ­āļĄāđāļ›āļĨāļ‡āļ‚āđ‰āļ­āļĄāļđāļĨāļĒāļ·āļ™āļĒāļąāļ™āļ•āļąāļ§āļ•āļ™āđāļĨāļ°āļĒāļāļĢāļ°āļ”āļąāļšāļŠāļīāļ—āļ˜āļīāđŒāđƒāļ™āļĢāļ°āļšāļšāđ„āļ”āđ‰ [2]

āļ—āļąāđ‰āļ‡āļ™āļĩāđ‰ āļŦāļ™āđˆāļ§āļĒāļ‡āļēāļ™āļŠāļēāļĄāļēāļĢāļ–āļ”āļđāļĢāļēāļĒāļĨāļ°āđ€āļ­āļĩāļĒāļ”āđ€āļžāļīāđˆāļĄāđ€āļ•āļīāļĄāđ„āļ”āđ‰āļ—āļĩāđˆ https://dg.th/wc6dv0xjog

  1. āļĢāļ°āļšāļšāļ—āļĩāđˆāđ„āļ”āđ‰āļĢāļąāļšāļœāļĨāļāļĢāļ°āļ—āļš āđ„āļ”āđ‰āđāļāđˆ
    â€Ē Microsoft.AspNetCore.DataProtection āđ€āļ§āļ­āļĢāđŒāļŠāļąāļ™ 10.0.0 āļ–āļķāļ‡ 10.0.6 āđ‚āļ”āļĒāđ€āļ‰āļžāļēāļ°āļĢāļ°āļšāļšāļ—āļĩāđˆāļ—āļģāļ‡āļēāļ™āļšāļ™ Linux, macOS āđāļĨāļ°āļĢāļ°āļšāļš Non-Windows

  2. āļžāļĪāļ•āļīāļāļĢāļĢāļĄāļāļēāļĢāđ‚āļˆāļĄāļ•āļĩ
    āļœāļđāđ‰āđ‚āļˆāļĄāļ•āļĩāļŠāļēāļĄāļēāļĢāļ–āđƒāļŠāđ‰ Machine Keys āļ—āļĩāđˆāļĢāļąāđˆāļ§āđ„āļŦāļĨāļŦāļĢāļ·āļ­āļ–āļđāļāđ€āļœāļĒāđāļžāļĢāđˆāļŠāļēāļ˜āļēāļĢāļ“āļ° āļŠāļĢāđ‰āļēāļ‡ ViewState āļ›āļĨāļ­āļĄāļ—āļĩāđˆāļœāđˆāļēāļ™āļāļēāļĢāļ•āļĢāļ§āļˆāļŠāļ­āļšāļ„āļ§āļēāļĄāļ–āļđāļāļ•āđ‰āļ­āļ‡āļ‚āļ­āļ‡āļĢāļ°āļšāļš ASP.NET āđ„āļ”āđ‰ āđ€āļĄāļ·āđˆāļ­āđ€āļ‹āļīāļĢāđŒāļŸāđ€āļ§āļ­āļĢāđŒāļ›āļĢāļ°āļĄāļ§āļĨāļœāļĨāļ‚āđ‰āļ­āļĄāļđāļĨāļ”āļąāļ‡āļāļĨāđˆāļēāļ§ āļĢāļ°āļšāļšāļˆāļ°āļ—āļģāļāļēāļĢāļ–āļ­āļ”āļĢāļŦāļąāļŠāđāļĨāļ°āļĢāļąāļ™āđ‚āļ„āđ‰āļ”āļ­āļąāļ™āļ•āļĢāļēāļĒāļ āļēāļĒāđƒāļ™āļŦāļ™āđˆāļ§āļĒāļ„āļ§āļēāļĄāļˆāļģāļ‚āļ­āļ‡ IIS Web Server āļŠāđˆāļ‡āļœāļĨāđƒāļŦāđ‰āļœāļđāđ‰āđ‚āļˆāļĄāļ•āļĩāļŠāļēāļĄāļēāļĢāļ–āļ„āļ§āļšāļ„āļļāļĄāļĢāļ°āļšāļšāļˆāļēāļāļĢāļ°āļĒāļ°āđ„āļāļĨ (Remote Code Execution: RCE)

  3. āļœāļĨāļāļĢāļ°āļ—āļš
    4.1 āđ€āļ‚āđ‰āļēāļ„āļ§āļšāļ„āļļāļĄāđ€āļ§āđ‡āļšāđ€āļ‹āļīāļĢāđŒāļŸāđ€āļ§āļ­āļĢāđŒāļŦāļĢāļ·āļ­āļĢāļ°āļšāļšāļ‡āļēāļ™āļŠāļģāļ„āļąāļ
    4.2 āđ€āļ‚āđ‰āļēāļ–āļķāļ‡āļ‚āđ‰āļ­āļĄāļđāļĨāļŠāļģāļ„āļąāļāļŦāļĢāļ·āļ­āļ‚āđ‰āļ­āļĄāļđāļĨāļŠāđˆāļ§āļ™āļšāļļāļ„āļ„āļĨ āļĢāļ§āļĄāļ–āļķāļ‡āđāļāđ‰āđ„āļ‚āļ‚āđ‰āļ­āļĄāļđāļĨāļŠāļģāļ„āļąāļāļ āļēāļĒāđƒāļ™āļĢāļ°āļšāļš
    4.3 āļ›āļĨāļ­āļĄāđāļ›āļĨāļ‡ Session, Cookie āļŦāļĢāļ·āļ­ Password Reset Token
    4.4 āđƒāļŠāđ‰āļĢāļ°āļšāļšāļ—āļĩāđˆāļ–āļđāļāđ‚āļˆāļĄāļ•āļĩāđ€āļ›āđ‡āļ™āļāļēāļ™āļŠāļģāļŦāļĢāļąāļšāđ‚āļˆāļĄāļ•āļĩāļĢāļ°āļšāļšāļ­āļ·āđˆāļ™āļ āļēāļĒāđƒāļ™āļ­āļ‡āļ„āđŒāļāļĢ
    4.5 āđāļāđ‰āđ„āļ‚āļŦāļĢāļ·āļ­āļĨāļšāļ‚āđ‰āļ­āļĄāļđāļĨāļŠāļģāļ„āļąāļāļ‚āļ­āļ‡āļ­āļ‡āļ„āđŒāļāļĢ

  4. āđāļ™āļ§āļ—āļēāļ‡āļāļēāļĢāļ›āđ‰āļ­āļ‡āļāļąāļ™āđāļĨāļ°āļĨāļ”āļ„āļ§āļēāļĄāđ€āļŠāļĩāđˆāļĒāļ‡
    5.1 āļ­āļąāļ›āđ€āļ”āļ• Microsoft.AspNetCore.DataProtection āđ€āļ›āđ‡āļ™āđ€āļ§āļ­āļĢāđŒāļŠāļąāļ™ 10.0.7 āļŦāļĢāļ·āļ­āđ€āļ§āļ­āļĢāđŒāļŠāļąāļ™āļĨāđˆāļēāļŠāļļāļ”āđ‚āļ”āļĒāļ—āļąāļ™āļ—āļĩ
    5.2 āļ•āļĢāļ§āļˆāļŠāļ­āļšāđ„āļŸāļĨāđŒ web.config āđāļĨāļ°āļāļēāļĢāļ•āļąāđ‰āļ‡āļ„āđˆāļēāļ‚āļ­āļ‡ IIS āļ§āđˆāļēāļĄāļĩāļāļēāļĢāļāļģāļŦāļ™āļ”āļ„āđˆāļē Machine Keys āđāļšāļš Static āļŦāļĢāļ·āļ­āđ„āļĄāđˆ
    5.3 āļ•āļĢāļ§āļˆāļŠāļ­āļšāļĢāļ°āļšāļšāļĒāđ‰āļ­āļ™āļŦāļĨāļąāļ‡āđ€āļžāļ·āđˆāļ­āļ„āđ‰āļ™āļŦāļēāļĢāđˆāļ­āļ‡āļĢāļ­āļĒāļāļēāļĢāļāļąāļ‡ Web Shell, Godzilla Framework āđ€āļ›āđ‡āļ™āļ•āđ‰āļ™

  5. āļĄāļēāļ•āļĢāļāļēāļĢāļŠāļąāđˆāļ§āļ„āļĢāļēāļ§ (āļāļĢāļ“āļĩāļĒāļąāļ‡āđ„āļĄāđˆāļŠāļēāļĄāļēāļĢāļ–āļ­āļąāļ›āđ€āļ”āļ•āđ„āļ”āđ‰āļ—āļąāļ™āļ—āļĩ)
    6.1 Rotate ASP.NET Machine Keys āđāļĨāļ° Data Protection Keys āđƒāļŦāļĄāđˆāļ—āļąāļ™āļ—āļĩ āđ‚āļ”āļĒāļŠāļĢāđ‰āļēāļ‡āļāļļāļāđāļˆāđƒāļŦāļĄāđˆāļ—āļĩāđˆāļĄāļĩāļ„āļ§āļēāļĄāļ‹āļąāļšāļ‹āđ‰āļ­āļ™āļŠāļđāļ‡ āđāļĨāļ°āđ„āļĄāđˆāđƒāļŠāđ‰āļ„āđˆāļēāļ—āļĩāđˆāļ„āļąāļ”āļĨāļ­āļāļˆāļēāļāļŠāļēāļ˜āļēāļĢāļ“āļ° āļŦāļĢāļ·āļ­ Git Repository
    6.2 āļ›āļīāļ”āļāļēāļĢāđƒāļŠāđ‰āļ‡āļēāļ™ Machine Keys āđāļšāļš Static
    6.3 āļˆāļģāļāļąāļ”āļāļēāļĢāđ€āļ‚āđ‰āļēāļ–āļķāļ‡āļĢāļ°āļšāļšāļˆāļēāļāļ āļēāļĒāļ™āļ­āļ
    6.4 āđ€āļ›āļīāļ”āđƒāļŠāđ‰āļ‡āļēāļ™ Web Application Firewall (WAF)
    6.5 āļ›āļīāļ”āļŸāļąāļ‡āļāđŒāļŠāļąāļ™āļŦāļĢāļ·āļ­āļšāļĢāļīāļāļēāļĢāļ—āļĩāđˆāđ„āļĄāđˆāļˆāļģāđ€āļ›āđ‡āļ™āļŠāļąāđˆāļ§āļ„āļĢāļēāļ§
    6.6 āļšāļąāļ‡āļ„āļąāļš Reset Session āđāļĨāļ° Authentication Token āđ€āļ›āđ‡āļ™āļĢāļ°āļĒāļ°
    ASP.NET Core22.png
    āđāļŦāļĨāđˆāļ‡āļ­āđ‰āļēāļ‡āļ­āļīāļ‡
    [1] https://dg.th/tfcokpxrz0
    [2] https://dg.th/wuarfe8z9j

]]>https://webboard-nsoc.ncsa.or.th/topic/2913/microsoft-āđāļˆ-āļ‡āđ€āļ•-āļ­āļ™āļāļēāļĢāđ‚āļˆāļĄāļ•-āļœ-āļēāļ™-asp-net-machine-key-āđāļĨāļ°-asp-net-coreRSS for NodeFri, 22 May 2026 10:05:21 GMTFri, 22 May 2026 03:14:24 GMT60