(https://i.postimg.cc/d3vxQQWG/Malware-5.png) (https://postimg.cc/9R8pJ2Hf)
Microsoft advierte que los atacantes están implementando malware en ataques de inyección de código de ViewState utilizando claves de máquina ASP. NET estáticas que se encuentran en línea.
Como descubrieron recientemente los expertos de Microsoft Threat Intelligence, algunos desarrolladores utilizan las claves validationKey y decryptionKey de ASP.NET (diseñadas para proteger ViewState de la manipulación y la divulgación de información) que se encuentran en la documentación de código y en las plataformas de repositorio en su propio software.
ViewState permite que los formularios web ASP.NET controlen el estado y conserven las entradas del usuario en las recargas de página. Sin embargo, si los atacantes obtienen la clave de máquina diseñada para protegerlo de la manipulación y la divulgación de información, pueden usarla en ataques de inyección de código para crear cargas útiles maliciosas adjuntando un código de autenticación de mensajes (MAC) diseñado.
Sin embargo, los actores de amenazas también utilizan claves de máquina de fuentes disponibles públicamente en ataques de inyección de código para crear ViewStates maliciosos (utilizados por los formularios web ASP.NET para controlar el estado y preservar las páginas) adjuntando un código de autenticación de mensajes (MAC) diseñado.
Al cargar los ViewStates enviados a través de solicitudes POST, el entorno de ejecución de ASP.NET en el servidor de destino descifra y valida los datos de ViewState creados maliciosamente por los atacantes porque usa las claves correctas, los carga en la memoria del proceso de trabajo y los ejecuta.
Esto les otorga ejecución de código remoto (RCE) en los servidores web IIS de destino, lo que les permite implementar cargas útiles maliciosas adicionales.
En un caso, observado en diciembre de 2024, un atacante no atribuido usó una clave de máquina conocida públicamente para entregar el marco de postexplotación Godzilla, que cuenta con capacidades de ejecución de comandos maliciosos e inyección de código shell, a un servidor web de Internet Information Services (IIS) de destino.
Cadena de ataques de inyección de código de ViewState (Microsoft)
(https://www.bleepstatic.com/images/news/u/1109292/2025/ASP-NET-machine-keys-attack-chain.jpg)
"Desde entonces, Microsoft ha identificado más de 3.000 claves divulgadas públicamente que podrían utilizarse para este tipo de ataques, denominados ataques de inyección de código ViewState", afirmó la empresa el jueves.
"Mientras que muchos ataques de inyección de código ViewState conocidos anteriormente utilizaban claves comprometidas o robadas que suelen venderse en foros de la dark web, estas claves divulgadas públicamente podrían suponer un mayor riesgo porque están disponibles en varios repositorios de código y podrían haberse introducido en el código de desarrollo sin modificación".
Para bloquear estos ataques, Microsoft recomienda a los desarrolladores que generen claves de máquina de forma segura, que no utilicen claves predeterminadas o claves que se encuentren en línea, que encripten los elementos machineKey y connectionStrings para bloquear el acceso a secretos de texto sin formato, que actualicen las aplicaciones para que utilicen ASP.NET 4.8 para habilitar las capacidades de la interfaz de análisis antimalware (AMSI) y que fortalezcan los servidores Windows mediante el uso de reglas de reducción de la superficie de ataque, como la creación de un bloque de Webshell para servidores.
Microsoft también compartió pasos detallados para eliminar o reemplazar claves ASP.NET en el archivo de configuración web.config usando PowerShell o la consola del administrador de IIS y eliminó muestras de claves de su documentación pública para desalentar aún más esta práctica insegura.
"Si se ha producido una explotación exitosa de claves divulgadas públicamente, las claves rotativas de la máquina no abordarán de manera suficiente las posibles puertas traseras o métodos de persistencia establecidos por un actor de amenazas u otra actividad posterior a la explotación, y puede justificarse una investigación adicional", advirtió Redmond.
"En particular, los servidores que dan a la web deben investigarse a fondo y considerarse seriamente la posibilidad de volver a formatear y reinstalar en un medio fuera de línea en los casos en que se hayan identificado claves divulgadas públicamente, ya que estos servidores son los que corren mayor riesgo de posible explotación".
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/microsoft-says-attackers-use-exposed-aspnet-keys-to-deploy-malware/