A Microsoft identificou um novo vetor de ataque em que invasores estão utilizando chaves ASP.NET estáticas, expostas online, para realizar ataques de injeção de código tipo ViewState – o que permite a execução remota de código em servidores IIS. Essas chaves, encontradas em documentação pública e repositórios de código, são usadas para criar ViewStates maliciosos que são aceitos pelo servidor como legítimos, permitindo que os hackers implantem malware.
Leia também
Interesse em roubar criptomoedas aumenta 135%
Hackers encadearam falhas em ataque a soluções Ivanti
Em um caso recente, um invasor utilizou uma chave pública para entregar a estrutura de pós-exploração Godzilla, que possibilita a execução de comandos maliciosos e a injeção de shellcode. A Microsoft já identificou mais de 3.000 chaves vazadas e alerta que esses ataques representam um risco significativo, pois muitas dessas chaves podem ter sido copiadas diretamente para projetos sem modificação.
Para mitigar o problema, a empresa recomenda que os desenvolvedores gerem chaves de máquina de forma segura, evitem o uso de chaves padrão ou encontradas online e criptografem elementos sensíveis no arquivo de configuração web.config. Além disso, orienta a atualização das aplicações para ASP.NET 4.8, a ativação do Antimalware Scan Interface (AMSI) e a aplicação de regras de segurança para bloquear a criação de Webshells.
A Microsoft também removeu amostras de chaves de sua documentação pública e forneceu diretrizes para a substituição segura dessas chaves. No entanto, alerta que simplesmente trocar a chave pode não ser suficiente se um ataque já tiver ocorrido, recomendando uma investigação aprofundada e, em alguns casos, a reinstalação completa do servidor para evitar backdoors persistentes.
