Microsoft предупреждава, че нападателите внедряват зловреден софтуер при атаки с инжектиране на код ViewState, като използват статичен ASP. NET машинни ключове, намерени онлайн.

Както неотдавна откриха експертите на Microsoft Threat Intelligence, някои разработчици използват в собствения си софтуер ключовете ASP.NET validationKey и decryptionKey (предназначени за защита на ViewState от подправяне и разкриване на информация), открити в платформите за документация и хранилища на код.

Заплахите обаче използват и машинни ключове от публично достъпни източници при атаки за инжектиране на код, за да създават злонамерени ViewState (използвани от ASP.NET Web Forms за контрол на състоянието и запазване на страниците), като прикрепят изработен код за удостоверяване на съобщения (MAC).

При зареждане на ViewState, изпратени чрез POST заявки, ASP.NET Runtime на целевия сървър декриптира и валидира злонамерено създадените данни на ViewState от нападателите, тъй като използва правилните ключове, зарежда ги в паметта на работния процес и ги изпълнява.

Това им позволява да изпълняват отдалечено код на IIS сървъра и да разполагат допълнителни злонамерени товари.

В един от случаите, наблюдавани през декември 2024 г., непризнат нападател използва публично известен машинен ключ, за да достави рамката за последващо експлоатиране Godzilla, която се предлага с възможности за изпълнение на зловредни команди и инжектиране на шел код, на целеви уеб сървър на Internet Information Services (IIS).

„Оттогава Microsoft е идентифицирала над 3000 публично оповестени ключа, които биха могли да се използват за този тип атаки, които се наричат атаки за инжектиране на код ViewState“, заяви компанията в четвъртък.

„Докато много от известните досега атаки за инжектиране на код ViewState използваха компрометирани или откраднати ключове, които често се продават на форуми в тъмната мрежа, тези публично разкрити ключове биха могли да представляват по-висок риск, тъй като са налични в множество хранилища на код и биха могли да бъдат вкарани в кода за разработка без модификация.“

За да се блокират такива атаки, Microsoft препоръчва на разработчиците да генерират сигурно машинни ключове, да не използват ключове по подразбиране или ключове, намерени в интернет, да криптират елементите machineKey и connectionStrings, за да блокират достъпа до тайни в обикновен текст, да надграждат приложенията, за да използват ASP.NET 4.8, за да активират възможностите на Antimalware Scan Interface (AMSI), и да укрепват Windows сървърите, като използват правила за намаляване на повърхността на атаките, като например Block Webshell creation for Servers.

Microsoft също така сподели подробни стъпки за премахване или замяна на ASP.NET ключове в конфигурационния файл web.config с помощта на PowerShell или конзолата на IIS мениджъра и премахна образци на ключове от публичната си документация, за да обезкуражи допълнително тази несигурна практика.

„Ако е настъпила успешна експлоатация на публично оповестените ключове, въртенето на машинните ключове няма да реши в достатъчна степен проблема с възможните задни врати или методи за устойчивост, създадени от заплахата, или други дейности след експлоатацията, и може да се наложи допълнително разследване“, предупреждават от Редмънд.

„По-специално, сървърите, насочени към уеб, трябва да бъдат напълно проучени и силно обмислени за преформатиране и преинсталиране в офлайн среда в случаите, когато са идентифицирани публично разкрити ключове, тъй като тези сървъри са най-застрашени от възможна експлоатация.“