Команда Microsoft Threat Intelligence обнаружила новую тенденцию в кибератаках: злоумышленники активно используют общедоступные машинные ключи ASP.NET для проведения атак через механизм ViewState. Эта техника позволяет внедрять вредоносный код на веб-серверы, использующие стандартные или скопированные из открытых источников ключи validationKey и decryptionKey.
Механизм атаки и потенциальные риски
Атака реализуется через манипуляцию с ViewState — механизмом ASP.NET Web Forms, отвечающим за управление состоянием веб-страниц. Злоумышленники создают вредоносные ViewState-данные, подписывая их действительными машинными ключами, найденными в публичных репозиториях. При обработке таких данных на целевом сервере происходит их успешная валидация и выполнение, что открывает возможности для удаленного выполнения произвольного кода.
Масштаб проблемы и реальные инциденты
По данным Microsoft, в открытом доступе находится более 3000 машинных ключей ASP.NET, потенциально пригодных для проведения атак. В декабре 2024 года был зафиксирован показательный случай, когда атакующие использовали публичный ключ для установки фреймворка Godzilla, что позволило им выполнять вредоносные команды и внедрять шелл-код на целевом сервере.
Рекомендации по защите
Microsoft предлагает комплекс мер для защиты от атак через ViewState:
— Использование уникальных, безопасно сгенерированных машинных ключей
— Шифрование элементов machineKey и connectionStrings
— Обновление до ASP.NET 4.8 для использования Antimalware Scan Interface (AMSI)
— Усиление общей защиты Windows-серверов
В рамках противодействия угрозе Microsoft также удалила примеры ключей из своей официальной документации и опубликовала подробные инструкции по замене существующих ключей ASP.NET через PowerShell или консоль управления IIS. Организациям настоятельно рекомендуется проверить свои системы на наличие скомпрометированных ключей и принять необходимые меры по их замене.
