Microsoft Threat Intelligence a identifié 3 000 clés ASP.NET divulguées dans la documentation du code et des reposs qui pourraient être utilisés dans les attaques d’injection de code.
Microsoft Threat Intelligence en décembre a observé un «acteur de menace» à l’aide d’une touche de machine ASP.NET accessible au public pour injecter du code malveillant et récupérer le cadre de Godzilla post-exploitation, un shell web «dérobée» utilisé par les intrus pour exécuter des commandes et manipuler des fichiers. La société a ensuite identifié plus de 3 000 clés de la machine ASP.NET a révélé publiquement – les clés, les clés qui ont été divulguées dans la documentation du code et les référentiels – qui pourraient être utilisées dans ces types d’attaques, appelées attaques d’injection de code Viewstate.
En réponse, Microsoft Threat Intelligence avertit les organisations de ne pas copier des clés à partir de sources accessibles au public et les exhortant à faire tourner régulièrement des clés. Dans un bulletin du 6 février, Microsoft Threat Intelligence a déclaré qu’en enquêtant et en se protégeant contre cette activité, il a observé une pratique non sécurisée par laquelle les développeurs ont utilisé publiquement les clés de la machine ASP.NET de la documentation du code, des référentiels et d’autres sources publiques qui ont ensuite été utilisées par Les acteurs menacent d’effectuer des actions malveillantes sur les serveurs cibles. Alors que de nombreuses attaques d’injection de code Viewstate auparavant connues utilisaient des clés compromises ou volées qui ont été vendues sur les forums Web Dark, ces clés divulguées publiquement pourraient présenter un risque plus élevé car elles sont disponibles dans plusieurs référentiels de code et auraient pu être poussés dans le code de développement sans modification, Microsoft dit. L’activité malveillante limitée que Microsoft a observée en décembre comprenait l’utilisation d’une clé divulguée publiquement pour injecter du code malveillant. Microsoft Threat Intelligence continue de surveiller l’utilisation supplémentaire de cette technique d’attaque, a déclaré Microsoft.
ViewState est la méthode par laquelle ASP.NET Web Forms Preserve Page and Control entre les post-dos, a déclaré Microsoft Threat Intelligence. Les données de ViewState sont stockées dans un champ caché sur la page et sont codées. Pour protéger Viewstate contre la falsification et la divulgation, le framework de page ASP.NET utilise des touches de machine. « Si ces clés sont volées ou rendues accessibles aux acteurs de la menace, ces acteurs de menace peuvent élaborer une vue malveillante en utilisant les clés volées et l’envoyer sur le site Web via une demande de poste », a déclaré Microsoft Threat Intelligence dans le bulletin. «Lorsque la demande est traitée par ASP.NET Runtime sur le serveur ciblé, la vue est décryptée et validée avec succès car les bonnes touches sont utilisées. Le code malveillant est ensuite chargé dans la mémoire du processus de travail et exécuté, fournissant les capacités d’exécution de code à distance de l’acteur de menace sur le serveur Web cible IIS. »
