Microsoft avertit que les attaquants déploient des logiciels malveillants dans des attaques par injection de code ViewState à l’aide d’un ASP statique. Clés de machine NETTES trouvées en ligne.
Comme les experts en Threat Intelligence de Microsoft l’ont récemment découvert, certains développeurs utilisent ASP.NET Clés validationKey et Decryptkey (conçues pour protéger ViewState contre la falsification et la divulgation d’informations) trouvées sur la documentation du code et les plates-formes de référentiel dans leur propre logiciel.
L’état d’affichage active ASP.NET Formulaires Web pour contrôler l’état et préserver les entrées des utilisateurs lors des rechargements de pages. Cependant, si les attaquants obtiennent la clé de la machine conçue pour la protéger contre la falsification et la divulgation d’informations, ils peuvent l’utiliser dans des attaques par injection de code pour créer des charges utiles malveillantes en attachant un code d’authentification de message contrefait (MAC).
Cependant, les auteurs de menaces utilisent également des clés de machine provenant de sources accessibles au public dans des attaques par injection de code pour créer des états d’affichage malveillants (utilisés par ASP.NET Formulaires Web pour contrôler l’état et préserver les pages) en joignant un code d’authentification de message contrefait (MAC).
Lors du chargement des états d’affichage envoyés via des requêtes POST, le ASP.NET Le runtime sur le serveur ciblé déchiffre et valide les données ViewState conçues de manière malveillante par les attaquants, car il utilise les bonnes clés, les charge dans la mémoire du processus de travail et les exécute.
Cela leur permet d’exécuter du code à distance (RCE) sur les serveurs Web IIS ciblés, ce qui leur permet de déployer des charges utiles malveillantes supplémentaires.
Dans un cas, observé en décembre 2024, un attaquant non attribué a utilisé une clé de machine connue du public pour fournir le framework de post-exploitation Godzilla, qui offre des capacités d’exécution de commandes malveillantes et d’injection de shellcode, à un serveur Web Internet Information Services (IIS) ciblé.
« Microsoft a depuis identifié plus de 3 000 clés divulguées publiquement qui pourraient être utilisées pour ces types d’attaques, appelées attaques par injection de code ViewState », a déclaré la société jeudi.
« Alors que de nombreuses attaques par injection de code ViewState précédemment connues utilisaient des clés compromises ou volées qui sont souvent vendues sur des forums du dark Web, ces clés divulguées publiquement pourraient présenter un risque plus élevé car elles sont disponibles dans plusieurs référentiels de code et auraient pu être intégrées au code de développement sans modification. »
Pour bloquer de telles attaques, Microsoft recommande aux développeurs de générer en toute sécurité des clés de machine, de ne pas utiliser les clés par défaut ou les clés trouvées en ligne, de crypter les éléments machineKey et connectionStrings pour bloquer l’accès aux secrets en clair, de mettre à niveau les applications à utiliser ASP.NET 4.8 pour activer les fonctionnalités de l’Interface d’analyse Antimalware (AMSI) et renforcer les serveurs Windows en utilisant des règles de réduction de la surface d’attaque telles que la création de shell Web de bloc pour les serveurs.
Microsoft a également partagé des étapes détaillées pour supprimer ou remplacer ASP.NET clés dans le web.configurez le fichier de configuration à l’aide de PowerShell ou de la console du gestionnaire des services internet et supprimez les échantillons de clés de sa documentation publique pour décourager davantage cette pratique non sécurisée.
« Si l’exploitation réussie des clés divulguées publiquement a eu lieu, les clés rotatives de la machine ne traiteront pas suffisamment des portes dérobées possibles ou des méthodes de persistance établies par un acteur menaçant ou une autre activité post-exploitation, et une enquête supplémentaire peut être justifiée », a averti Redmond.
« En particulier, les serveurs Web doivent faire l’objet d’une enquête approfondie et être fortement envisagés pour un reformatage et une réinstallation sur un support hors ligne dans les cas où des clés divulguées publiquement ont été identifiées, car ces serveurs sont les plus à risque d’exploitation possible. »