Microsoft обнаружила новую тактику кибератак, при которой злоумышленники используют уязвимость в механизме ViewState для внедрения вредоносного кода. Проблема связана с разработчиками, использующими статические ключи ASP.NET Machine Keys, найденные в открытых источниках, таких как документация по коду и репозитории.
Machine Keys предназначены для защиты ViewState от подделки и утечек данных. Однако хакеры находят публично доступные ключи и используют их для создания вредоносных ViewState, содержащих специально подготовленный код аутентификации сообщений (Message Authentication Code, MAC). При обработке таких ViewState IIS-сервер загружает их в память рабочего процесса и выполняет, что позволяет атакующим исполнять код удаленно и загружать дополнительное вредоносное ПО.
В декабре 2024 года неизвестный киберпреступник использовал один из таких публичных ключей для внедрения инструмента Godzilla, предназначенного для постэксплуатации, выполнения команд и инъекции shell-кода на сервере IIS.
Цепочка атаки с внедрением кода ViewState
Microsoft выявила более 3000 публично доступных machine keys, которые могут быть использованы для подобных атак. В отличие от ранее известных атак с подделкой ViewState, где использовались украденные ключи, продаваемые в даркнете, новая угроза опаснее: ключи находятся в открытых репозиториях и могут быть случайно включены в разработку без проверки.
Чтобы минимизировать риски, Microsoft рекомендует разработчикам генерировать machine keys безопасно, избегать использования ключей из открытых источников, шифровать machineKey и connectionStrings в конфигурации, обновлять приложения до ASP.NET 4.8 для включения Antimalware Scan Interface (AMSI) и применять защитные меры на серверах Windows, включая правила уменьшения атакующей поверхности .
Дополнительно Microsoft представила инструкции по удалению или замене уязвимых ключей через PowerShell и консоль IIS, а также удалила примеры таких ключей из своей документации, чтобы предотвратить их использование.
В случае успешной эксплуатации атакующими просто ротация ключей может быть недостаточной. Microsoft настоятельно рекомендует полное расследование инцидента, а для интернет-ориентированных серверов — форматирование и переустановку в автономной среде, поскольку такие системы находятся в группе наибольшего риска.
Machine Keys предназначены для защиты ViewState от подделки и утечек данных. Однако хакеры находят публично доступные ключи и используют их для создания вредоносных ViewState, содержащих специально подготовленный код аутентификации сообщений (Message Authentication Code, MAC). При обработке таких ViewState IIS-сервер загружает их в память рабочего процесса и выполняет, что позволяет атакующим исполнять код удаленно и загружать дополнительное вредоносное ПО.
В декабре 2024 года неизвестный киберпреступник использовал один из таких публичных ключей для внедрения инструмента Godzilla, предназначенного для постэксплуатации, выполнения команд и инъекции shell-кода на сервере IIS.
Цепочка атаки с внедрением кода ViewState
Microsoft выявила более 3000 публично доступных machine keys, которые могут быть использованы для подобных атак. В отличие от ранее известных атак с подделкой ViewState, где использовались украденные ключи, продаваемые в даркнете, новая угроза опаснее: ключи находятся в открытых репозиториях и могут быть случайно включены в разработку без проверки.
Чтобы минимизировать риски, Microsoft рекомендует разработчикам генерировать machine keys безопасно, избегать использования ключей из открытых источников, шифровать machineKey и connectionStrings в конфигурации, обновлять приложения до ASP.NET 4.8 для включения Antimalware Scan Interface (AMSI) и применять защитные меры на серверах Windows, включая правила уменьшения атакующей поверхности .
Дополнительно Microsoft представила инструкции по удалению или замене уязвимых ключей через PowerShell и консоль IIS, а также удалила примеры таких ключей из своей документации, чтобы предотвратить их использование.
В случае успешной эксплуатации атакующими просто ротация ключей может быть недостаточной. Microsoft настоятельно рекомендует полное расследование инцидента, а для интернет-ориентированных серверов — форматирование и переустановку в автономной среде, поскольку такие системы находятся в группе наибольшего риска.