NCSA Webboard
    • āļĨāđˆāļēāļŠāļļāļ”
    • āđāļ—āđ‡āļ
    • āļŪāļīāļ•
      • āļ•āļīāļ”āļ•āđˆāļ­āļŠāļģāļ™āļąāļāļ‡āļēāļ™
    • āļĨāļ‡āļ—āļ°āđ€āļšāļĩāļĒāļ™
    • āđ€āļ‚āđ‰āļēāļŠāļđāđˆāļĢāļ°āļšāļš

    🛑 Microsoft āđāļˆāđ‰āļ‡āđ€āļ•āļ·āļ­āļ™āļāļēāļĢāđ‚āļˆāļĄāļ•āļĩāļœāđˆāļēāļ™ ASP.NET Machine Key āđāļĨāļ° ASP.NET Core

    Cyber Security News
    1
    1
    12
    āđ‚āļŦāļĨāļ”āđ‚āļžāļŠāđ€āļžāļīāđˆāļĄāđ€āļ•āļīāļĄ
    • āđ€āļāđˆāļēāļŠāļļāļ”āđ„āļ›āļĒāļąāļ‡āđƒāļŦāļĄāđˆāļŠāļļāļ”
    • āđƒāļŦāļĄāđˆāļŠāļļāļ”āđ„āļ›āļĒāļąāļ‡āđ€āļāđˆāļēāļŠāļļāļ”
    • Most Votes
    āļ•āļ­āļš
    • āļ•āļ­āļšāđ‚āļ”āļĒāļ•āļąāđ‰āļ‡āļāļĢāļ°āļ—āļđāđ‰āđƒāļŦāļĄāđˆ
    āđ€āļ‚āđ‰āļēāļŠāļđāđˆāļĢāļ°āļšāļšāđ€āļžāļ·āđˆāļ­āļ•āļ­āļšāļāļĨāļąāļš
    Topic āļ™āļĩāđ‰āļ–āļđāļāļĨāļšāđ„āļ›āđāļĨāđ‰āļ§ āđ€āļ‰āļžāļēāļ°āļœāļđāđ‰āđƒāļŠāđ‰āļ‡āļēāļ™āļ—āļĩāđˆāļĄāļĩāļŠāļīāļ—āļ˜āļīāđŒāđƒāļ™āļāļēāļĢāļˆāļąāļ”āļāļēāļĢ Topic āđ€āļ—āđˆāļēāļ™āļąāđ‰āļ™āļ—āļĩāđˆāļˆāļ°āļĄāļĩāļŠāļīāļ—āļ˜āļīāđŒāđƒāļ™āļāļēāļĢāđ€āļ‚āđ‰āļēāļŠāļĄ
    • NCSA_THAICERTN
      NCSA_THAICERT
      āđāļāđ‰āđ„āļ‚āļĨāđˆāļēāļŠāļļāļ”āđ‚āļ”āļĒ

      āļĻāļđāļ™āļĒāđŒāļ›āļĢāļ°āļŠāļēāļ™āļāļēāļĢāļĢāļąāļāļĐāļēāļ„āļ§āļēāļĄāļĄāļąāđˆāļ™āļ„āļ‡āļ›āļĨāļ­āļ”āļ āļąāļĒāļĢāļ°āļšāļšāļ„āļ­āļĄāļžāļīāļ§āđ€āļ•āļ­āļĢāđŒāđāļŦāđˆāļ‡āļŠāļēāļ•āļī (ThaiCERT) āđ„āļ”āđ‰āļ•āļīāļ”āļ•āļēāļĄāļŠāļ–āļēāļ™āļāļēāļĢāļ“āđŒāļ‚āđˆāļēāļ§āļŠāļēāļĢāļ āļąāļĒāļ„āļļāļāļ„āļēāļĄāļ—āļēāļ‡āđ„āļ‹āđ€āļšāļ­āļĢāđŒ āļžāļš Microsoft āļ­āļ­āļāļĄāļēāļ•āļĢāļāļēāļĢāļ›āđ‰āļ­āļ‡āļāļąāļ™āđāļĨāļ°āđāļāđ‰āđ„āļ‚āļŠāđˆāļ­āļ‡āđ‚āļŦāļ§āđˆāļ„āļ§āļēāļĄāļ›āļĨāļ­āļ”āļ āļąāļĒāđƒāļ™ ASP.NET Machine Key āđāļĨāļ° ASP.NET Core [1]

      1. āļĢāļēāļĒāļĨāļ°āđ€āļ­āļĩāļĒāļ”āļŠāđˆāļ­āļ‡āđ‚āļŦāļ§āđˆ
        āļšāļĢāļīāļĐāļąāļ— Microsoft āđ„āļ”āđ‰āļ­āļ­āļāļ›āļĢāļ°āļāļēāļĻāđāļˆāđ‰āļ‡āđ€āļ•āļ·āļ­āļ™āļ”āđ‰āļēāļ™āļ„āļ§āļēāļĄāļĄāļąāđˆāļ™āļ„āļ‡āļ›āļĨāļ­āļ”āļ āļąāļĒāđ„āļ‹āđ€āļšāļ­āļĢāđŒāđ€āļāļĩāđˆāļĒāļ§āļāļąāļšāļāļēāļĢāđ‚āļˆāļĄāļ•āļĩāļ—āļĩāđˆāļĄāļļāđˆāļ‡āđ€āļ›āđ‰āļēāđ„āļ›āļĒāļąāļ‡āļĢāļ°āļšāļšāđ€āļ§āđ‡āļšāđāļ­āļ›āļžāļĨāļīāđ€āļ„āļŠāļąāļ™āļ—āļĩāđˆāļžāļąāļ’āļ™āļēāļ”āđ‰āļ§āļĒ ASP.NET āđāļĨāļ° ASP.NET Core āļŦāļĄāļēāļĒāđ€āļĨāļ‚ CVE-2026-45585 (CVSS v3.1: 6.8) āļŦāļĢāļ·āļ­āļ—āļĩāđˆāđ€āļĢāļĩāļĒāļāļ§āđˆāļē “YellowKey” āđ‚āļ”āļĒāļžāļšāļ§āđˆāļēāļœāļđāđ‰āđ„āļĄāđˆāļŦāļ§āļąāļ‡āļ”āļĩāļŠāļēāļĄāļēāļĢāļ–āđƒāļŠāđ‰ Machine Key āļ—āļĩāđˆāđ€āļ›āļīāļ”āđ€āļœāļĒāļŠāļđāđˆāļŠāļēāļ˜āļēāļĢāļ“āļ° āļŦāļĢāļ·āļ­āđƒāļŠāđ‰āļ›āļĢāļ°āđ‚āļĒāļŠāļ™āđŒāļˆāļēāļāļŠāđˆāļ­āļ‡āđ‚āļŦāļ§āđˆāļ”āđ‰āļēāļ™āļāļēāļĢāļ•āļĢāļ§āļˆāļŠāļ­āļš Cryptographic Signature Verification āđ€āļžāļ·āđˆāļ­āļ›āļĨāļ­āļĄāđāļ›āļĨāļ‡āļ‚āđ‰āļ­āļĄāļđāļĨāļĒāļ·āļ™āļĒāļąāļ™āļ•āļąāļ§āļ•āļ™āđāļĨāļ°āļĒāļāļĢāļ°āļ”āļąāļšāļŠāļīāļ—āļ˜āļīāđŒāđƒāļ™āļĢāļ°āļšāļšāđ„āļ”āđ‰ [2]

      āļ—āļąāđ‰āļ‡āļ™āļĩāđ‰ āļŦāļ™āđˆāļ§āļĒāļ‡āļēāļ™āļŠāļēāļĄāļēāļĢāļ–āļ”āļđāļĢāļēāļĒāļĨāļ°āđ€āļ­āļĩāļĒāļ”āđ€āļžāļīāđˆāļĄāđ€āļ•āļīāļĄāđ„āļ”āđ‰āļ—āļĩāđˆ https://dg.th/wc6dv0xjog

      1. āļĢāļ°āļšāļšāļ—āļĩāđˆāđ„āļ”āđ‰āļĢāļąāļšāļœāļĨāļāļĢāļ°āļ—āļš āđ„āļ”āđ‰āđāļāđˆ
        â€Ē Microsoft.AspNetCore.DataProtection āđ€āļ§āļ­āļĢāđŒāļŠāļąāļ™ 10.0.0 āļ–āļķāļ‡ 10.0.6 āđ‚āļ”āļĒāđ€āļ‰āļžāļēāļ°āļĢāļ°āļšāļšāļ—āļĩāđˆāļ—āļģāļ‡āļēāļ™āļšāļ™ Linux, macOS āđāļĨāļ°āļĢāļ°āļšāļš Non-Windows

      2. āļžāļĪāļ•āļīāļāļĢāļĢāļĄāļāļēāļĢāđ‚āļˆāļĄāļ•āļĩ
        āļœāļđāđ‰āđ‚āļˆāļĄāļ•āļĩāļŠāļēāļĄāļēāļĢāļ–āđƒāļŠāđ‰ Machine Keys āļ—āļĩāđˆāļĢāļąāđˆāļ§āđ„āļŦāļĨāļŦāļĢāļ·āļ­āļ–āļđāļāđ€āļœāļĒāđāļžāļĢāđˆāļŠāļēāļ˜āļēāļĢāļ“āļ° āļŠāļĢāđ‰āļēāļ‡ ViewState āļ›āļĨāļ­āļĄāļ—āļĩāđˆāļœāđˆāļēāļ™āļāļēāļĢāļ•āļĢāļ§āļˆāļŠāļ­āļšāļ„āļ§āļēāļĄāļ–āļđāļāļ•āđ‰āļ­āļ‡āļ‚āļ­āļ‡āļĢāļ°āļšāļš ASP.NET āđ„āļ”āđ‰ āđ€āļĄāļ·āđˆāļ­āđ€āļ‹āļīāļĢāđŒāļŸāđ€āļ§āļ­āļĢāđŒāļ›āļĢāļ°āļĄāļ§āļĨāļœāļĨāļ‚āđ‰āļ­āļĄāļđāļĨāļ”āļąāļ‡āļāļĨāđˆāļēāļ§ āļĢāļ°āļšāļšāļˆāļ°āļ—āļģāļāļēāļĢāļ–āļ­āļ”āļĢāļŦāļąāļŠāđāļĨāļ°āļĢāļąāļ™āđ‚āļ„āđ‰āļ”āļ­āļąāļ™āļ•āļĢāļēāļĒāļ āļēāļĒāđƒāļ™āļŦāļ™āđˆāļ§āļĒāļ„āļ§āļēāļĄāļˆāļģāļ‚āļ­āļ‡ IIS Web Server āļŠāđˆāļ‡āļœāļĨāđƒāļŦāđ‰āļœāļđāđ‰āđ‚āļˆāļĄāļ•āļĩāļŠāļēāļĄāļēāļĢāļ–āļ„āļ§āļšāļ„āļļāļĄāļĢāļ°āļšāļšāļˆāļēāļāļĢāļ°āļĒāļ°āđ„āļāļĨ (Remote Code Execution: RCE)

      3. āļœāļĨāļāļĢāļ°āļ—āļš
        4.1 āđ€āļ‚āđ‰āļēāļ„āļ§āļšāļ„āļļāļĄāđ€āļ§āđ‡āļšāđ€āļ‹āļīāļĢāđŒāļŸāđ€āļ§āļ­āļĢāđŒāļŦāļĢāļ·āļ­āļĢāļ°āļšāļšāļ‡āļēāļ™āļŠāļģāļ„āļąāļ
        4.2 āđ€āļ‚āđ‰āļēāļ–āļķāļ‡āļ‚āđ‰āļ­āļĄāļđāļĨāļŠāļģāļ„āļąāļāļŦāļĢāļ·āļ­āļ‚āđ‰āļ­āļĄāļđāļĨāļŠāđˆāļ§āļ™āļšāļļāļ„āļ„āļĨ āļĢāļ§āļĄāļ–āļķāļ‡āđāļāđ‰āđ„āļ‚āļ‚āđ‰āļ­āļĄāļđāļĨāļŠāļģāļ„āļąāļāļ āļēāļĒāđƒāļ™āļĢāļ°āļšāļš
        4.3 āļ›āļĨāļ­āļĄāđāļ›āļĨāļ‡ Session, Cookie āļŦāļĢāļ·āļ­ Password Reset Token
        4.4 āđƒāļŠāđ‰āļĢāļ°āļšāļšāļ—āļĩāđˆāļ–āļđāļāđ‚āļˆāļĄāļ•āļĩāđ€āļ›āđ‡āļ™āļāļēāļ™āļŠāļģāļŦāļĢāļąāļšāđ‚āļˆāļĄāļ•āļĩāļĢāļ°āļšāļšāļ­āļ·āđˆāļ™āļ āļēāļĒāđƒāļ™āļ­āļ‡āļ„āđŒāļāļĢ
        4.5 āđāļāđ‰āđ„āļ‚āļŦāļĢāļ·āļ­āļĨāļšāļ‚āđ‰āļ­āļĄāļđāļĨāļŠāļģāļ„āļąāļāļ‚āļ­āļ‡āļ­āļ‡āļ„āđŒāļāļĢ

      4. āđāļ™āļ§āļ—āļēāļ‡āļāļēāļĢāļ›āđ‰āļ­āļ‡āļāļąāļ™āđāļĨāļ°āļĨāļ”āļ„āļ§āļēāļĄāđ€āļŠāļĩāđˆāļĒāļ‡
        5.1 āļ­āļąāļ›āđ€āļ”āļ• Microsoft.AspNetCore.DataProtection āđ€āļ›āđ‡āļ™āđ€āļ§āļ­āļĢāđŒāļŠāļąāļ™ 10.0.7 āļŦāļĢāļ·āļ­āđ€āļ§āļ­āļĢāđŒāļŠāļąāļ™āļĨāđˆāļēāļŠāļļāļ”āđ‚āļ”āļĒāļ—āļąāļ™āļ—āļĩ
        5.2 āļ•āļĢāļ§āļˆāļŠāļ­āļšāđ„āļŸāļĨāđŒ web.config āđāļĨāļ°āļāļēāļĢāļ•āļąāđ‰āļ‡āļ„āđˆāļēāļ‚āļ­āļ‡ IIS āļ§āđˆāļēāļĄāļĩāļāļēāļĢāļāļģāļŦāļ™āļ”āļ„āđˆāļē Machine Keys āđāļšāļš Static āļŦāļĢāļ·āļ­āđ„āļĄāđˆ
        5.3 āļ•āļĢāļ§āļˆāļŠāļ­āļšāļĢāļ°āļšāļšāļĒāđ‰āļ­āļ™āļŦāļĨāļąāļ‡āđ€āļžāļ·āđˆāļ­āļ„āđ‰āļ™āļŦāļēāļĢāđˆāļ­āļ‡āļĢāļ­āļĒāļāļēāļĢāļāļąāļ‡ Web Shell, Godzilla Framework āđ€āļ›āđ‡āļ™āļ•āđ‰āļ™

      5. āļĄāļēāļ•āļĢāļāļēāļĢāļŠāļąāđˆāļ§āļ„āļĢāļēāļ§ (āļāļĢāļ“āļĩāļĒāļąāļ‡āđ„āļĄāđˆāļŠāļēāļĄāļēāļĢāļ–āļ­āļąāļ›āđ€āļ”āļ•āđ„āļ”āđ‰āļ—āļąāļ™āļ—āļĩ)
        6.1 Rotate ASP.NET Machine Keys āđāļĨāļ° Data Protection Keys āđƒāļŦāļĄāđˆāļ—āļąāļ™āļ—āļĩ āđ‚āļ”āļĒāļŠāļĢāđ‰āļēāļ‡āļāļļāļāđāļˆāđƒāļŦāļĄāđˆāļ—āļĩāđˆāļĄāļĩāļ„āļ§āļēāļĄāļ‹āļąāļšāļ‹āđ‰āļ­āļ™āļŠāļđāļ‡ āđāļĨāļ°āđ„āļĄāđˆāđƒāļŠāđ‰āļ„āđˆāļēāļ—āļĩāđˆāļ„āļąāļ”āļĨāļ­āļāļˆāļēāļāļŠāļēāļ˜āļēāļĢāļ“āļ° āļŦāļĢāļ·āļ­ Git Repository
        6.2 āļ›āļīāļ”āļāļēāļĢāđƒāļŠāđ‰āļ‡āļēāļ™ Machine Keys āđāļšāļš Static
        6.3 āļˆāļģāļāļąāļ”āļāļēāļĢāđ€āļ‚āđ‰āļēāļ–āļķāļ‡āļĢāļ°āļšāļšāļˆāļēāļāļ āļēāļĒāļ™āļ­āļ
        6.4 āđ€āļ›āļīāļ”āđƒāļŠāđ‰āļ‡āļēāļ™ Web Application Firewall (WAF)
        6.5 āļ›āļīāļ”āļŸāļąāļ‡āļāđŒāļŠāļąāļ™āļŦāļĢāļ·āļ­āļšāļĢāļīāļāļēāļĢāļ—āļĩāđˆāđ„āļĄāđˆāļˆāļģāđ€āļ›āđ‡āļ™āļŠāļąāđˆāļ§āļ„āļĢāļēāļ§
        6.6 āļšāļąāļ‡āļ„āļąāļš Reset Session āđāļĨāļ° Authentication Token āđ€āļ›āđ‡āļ™āļĢāļ°āļĒāļ°
        ASP.NET Core22.png
        āđāļŦāļĨāđˆāļ‡āļ­āđ‰āļēāļ‡āļ­āļīāļ‡
        [1] https://dg.th/tfcokpxrz0
        [2] https://dg.th/wuarfe8z9j

      1 āļāļēāļĢāļ•āļ­āļšāļāļĨāļąāļš āļ„āļģāļ•āļ­āļšāļĨāđˆāļēāļŠāļļāļ” āļ•āļ­āļš āļ„āļģāļ­āđ‰āļēāļ‡āļ­āļīāļ‡ 0
      • First post
        Last post