Microsoft: хакеры используют открытые ключи ASP.NET для развертывания вредоносного ПО

В новом отчёте корпорация Microsoft предупредила о распространении вредоносного ПО, которое внедряется через атаки с модификацией ViewState. По данным Microsoft Threat Intelligence, злоумышленники используют машинные ключи ASP.NET, найденные в открытом доступе, для обхода механизмов защиты.
Исследователи выяснили, что некоторые разработчики применяют validationKey и decryptionKey в своём программном обеспечении, несмотря на то, что эти ключи предназначены для предотвращения несанкционированного доступа и утечек данных. Проблема усугубляется тем, что такие ключи можно обнаружить в документации, а также в коде, опубликованном на платформах репозиториев.
ViewState в ASP.NET Web Forms отвечает за сохранение данных пользователя при обновлении страницы. Если атакующие получают доступ к машинному ключу, который должен защищать этот механизм, они могут создать вредоносные данные ViewState. Для этого используется добавление сгенерированного кода аутентификации сообщений (MAC), что позволяет выполнить произвольный код на целевом сервере.
Вредоносные ViewState передаются через POST-запросы, после чего среда выполнения ASP.NET на атакуемом сервере расшифровывает их, проверяет и загружает в память рабочего процесса. В результате атакующие получают возможность выполнять код удалённо (RCE), развёртывая дополнительные вредоносные компоненты на уязвимых веб-серверах IIS.
Microsoft сообщает, что один из таких случаев был зафиксирован в декабре 2024 года. Тогда неизвестный злоумышленник использовал общедоступный машинный ключ для доставки вредоносного фреймворка Godzilla на веб-сервер IIS. Данный фреймворк способен выполнять вредоносные команды и внедрять шелл-код, создавая серьёзные риски для атакуемой системы.
Полная версия отчёта доступна по ссылке.



