Das Microsoft Threat Intelligence Team hat eine besorgniserregende Entwicklung im Bereich der Cybersicherheit aufgedeckt: Cyberkriminelle nutzen verstärkt öffentlich zugängliche ASP.NET-Maschinenkeys, um gefährliche ViewState-Manipulationen durchzuführen. Diese neue Angriffsmethode ermöglicht es Hackern, schädlichen Code auf Webservern zu implementieren, die standardisierte oder aus öffentlichen Quellen kopierte ValidationKey- und DecryptionKey-Werte verwenden.
Technische Details der ViewState-Manipulation
Der Angriff basiert auf einer ausgeklügelten Manipulation des ViewState-Mechanismus in ASP.NET Web Forms. Angreifer generieren dabei manipulierte ViewState-Daten, die sie mit validen, aus öffentlichen Repositories extrahierten Maschinenkeys signieren. Wenn diese präparierten Daten vom Zielserver verarbeitet werden, erfolgt eine erfolgreiche Validierung, wodurch die Ausführung beliebigen Codes ermöglicht wird – eine kritische Sicherheitslücke für betroffene Systeme.
Umfang und dokumentierte Vorfälle
Die Dimension dieser Bedrohung wird durch die schiere Anzahl potenziell kompromittierter Schlüssel deutlich: Über 3.000 ASP.NET-Maschinenkeys sind derzeit öffentlich zugänglich und könnten für Angriffe missbraucht werden. Ein besonders schwerwiegender Vorfall ereignete sich im Dezember 2024, als Angreifer einen öffentlichen Schlüssel nutzten, um das Godzilla-Framework zu installieren, was ihnen weitreichende Kontrolle über den kompromittierten Server ermöglichte.
Präventive Sicherheitsmaßnahmen
Zur Absicherung gegen ViewState-basierte Angriffe empfiehlt Microsoft folgende essenzielle Schutzmaßnahmen:
– Implementierung individueller, sicher generierter Maschinenkeys
– Verschlüsselung sämtlicher MachineKey- und ConnectionStrings-Elemente
– Update auf ASP.NET 4.8 zur Nutzung der AMSI-Schutzfunktion
– Verstärkung der allgemeinen Windows-Server-Sicherheit
Als Reaktion auf diese Bedrohungslage hat Microsoft bereits Beispielschlüssel aus der offiziellen Dokumentation entfernt und detaillierte Anleitungen zur sicheren Schlüsselrotation via PowerShell oder IIS-Managementkonsole bereitgestellt. Organisationen wird dringend empfohlen, ihre Systeme auf kompromittierte Schlüssel zu überprüfen und diese umgehend durch sichere Alternativen zu ersetzen. Die zeitnahe Implementierung dieser Sicherheitsmaßnahmen ist entscheidend, um die Integrität von ASP.NET-basierten Webanwendungen zu gewährleisten und potenzielle Angriffsvektoren zu eliminieren.
