A Microsoft alerta que atacantes estão utilizando a injeção de código malware através de ataques de ViewState, usando chaves estáticas de ASP.NET encontradas online.
Conforme descoberto recentemente pelos especialistas em Threat Intelligence da Microsoft, alguns desenvolvedores utilizam chaves de validationKey e decryptionKey do ASP.NET (projetadas para proteger o ViewState contra adulterações e divulgação de informações) encontradas em documentações de código e plataformas de repositório em seu próprio software.
O ViewState possibilita que os Web Forms do ASP.NET controlem o estado e preservem entradas do usuário após recargas de páginas.
No entanto, se os atacantes obtiverem a chave de máquina projetada para protegê-lo contra adulterações e divulgação de informações, eles podem utilizá-la em ataques de injeção de código para criar payloads maliciosos, anexando um código de autenticação de mensagem (MAC) fabricado.
Contudo, os atores de ameaças também usam chaves de máquina disponíveis publicamente em ataques de injeção de código para criar ViewStates maliciosos (usados pelos Web Forms do ASP.NET para controlar o estado e preservar páginas) anexando um MAC fabricado.
Ao carregar os ViewStates enviados através de solicitações POST, o Runtime do ASP.NET no servidor alvo descriptografa e valida os dados do ViewState maliciosamente criado pelos atacantes, porque usa as chaves corretas, carrega no processo de trabalho da memória e executa.
Isso lhes concede execução de código remoto (RCE) nos servidores web IIS alvo, permitindo-lhes implementar payloads maliciosos adicionais.
Em um caso observado em dezembro de 2024, um atacante não atribuído usou uma chave de máquina publicamente conhecida para entregar o framework de pós-exploração Godzilla, que possui capacidades de execução de comando malicioso e injeção de shellcode, a um servidor web do Internet Information Services (IIS) alvo.
"A Microsoft desde então identificou mais de 3.000 chaves publicamente divulgadas que poderiam ser usadas para esses tipos de ataques, chamados ataques de injeção de código ViewState", disse a empresa na quinta-feira(06).
Enquanto muitos ataques de injeção de código ViewState anteriormente conhecidos usavam chaves comprometidas ou roubadas que são frequentemente vendidas em fóruns da dark web, essas chaves publicamente divulgadas podem representar um risco maior porque estão disponíveis em múltiplos repositórios de código e podem ter sido inseridas em código de desenvolvimento sem modificação.
Para bloquear tais ataques, a Microsoft recomenda que os desenvolvedores gerem chaves de máquina de maneira segura, não usem chaves padrão ou encontradas online, criptografem os elementos machineKey e connectionStrings para bloquear o acesso a segredos em texto puro, atualizem aplicativos para usar ASP.NET 4.8 para habilitar capacidades da Antimalware Scan Interface (AMSI) e endureçam Windows Servers usando regras de redução da superfície de ataque, como Bloquear a criação de Webshell para Servidores.
A Microsoft também compartilhou etapas detalhadas para remover ou substituir chaves ASP.NET no arquivo de configuração web.config usando o PowerShell ou o console do gerenciador do IIS e removeu amostras de chaves de sua documentação pública para desencorajar ainda mais essa prática insegura.
"Caso a exploração bem-sucedida de chaves publicamente divulgadas tenha ocorrido, a rotação de chaves de máquina não abordará de forma suficiente possíveis backdoors ou métodos de persistência estabelecidos por um ator de ameaça ou outra atividade de pós-exploração, e uma investigação adicional pode ser justificada," alertou Redmond.
Em particular, servidores voltados para a web devem ser totalmente investigados e fortemente considerados para reformatar e reinstalar em um meio offline em casos onde chaves publicamente divulgadas tenham sido identificadas, pois esses servidores estão mais em risco de possível exploração.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...