Компания Microsoft обнаружила новый способ кибератак, при котором злоумышленники используют уязвимость в механизме ViewState для внедрения вредоносного кода. Проблема связана с разработчиками, которые используют статические ключи ASP.NET Machine Keys, найденные в открытых источниках, таких как документация по коду и репозитории.
Machine Keys предназначены для защиты данных от подделки и утечек. Однако хакеры находят эти ключи и используют их для создания вредоносных данных ViewState, содержащих специальный код аутентификации сообщений. При обработке таких данных сервер IIS загружает их в память и выполняет, что позволяет злоумышленникам исполнять код удаленно и загружать дополнительное вредоносное ПО.
В декабре 2024 года неизвестный хакер использовал один из таких ключей для внедрения инструмента Godzilla, который позволяет выполнять команды и инъектировать код на сервере IIS.
Microsoft выявила более 3000 публично доступных machine keys, которые могут быть использованы для подобных атак. Новая угроза опаснее, чем предыдущие, потому что ключи находятся в открытых репозиториях и могут быть случайно включены в разработку без проверки.
Чтобы снизить риски, Microsoft рекомендует разработчикам генерировать ключи безопасно, избегать использования ключей из открытых источников, шифровать ключи и строки подключения в конфигурации, обновлять приложения до ASP.NET 4.8 для защиты и применять защитные меры на серверах Windows.
Microsoft также предоставила инструкции по удалению или замене уязвимых ключей через PowerShell и консоль IIS, а также удалила примеры таких ключей из своей документации, чтобы предотвратить их использование.
Если сервер был скомпрометирован, Microsoft рекомендует провести полное расследование инцидента и, для интернет-ориентированных серверов, форматирование и переустановку в автономной среде.
