Microsoft waarschuwt voor code-injectieaanvallen met openbaar beschikbare ASP.NET-machinekeys
Microsoft Threat Intelligence heeft in december 2024 beperkte activiteiten waargenomen van een niet-toegeschreven threat actor die een openbaar beschikbare, statische ASP.NET-machinekey gebruikte om schadelijke code te injecteren en het Godzilla post-exploitation framework te leveren. Tijdens het onderzoek naar deze activiteiten ontdekte Microsoft dat ontwikkelaars vaak machinekeys uit openbare bronnen, zoals coderingsdocumentatie en repositories, hebben overgenomen. Deze praktijk stelt servers bloot aan risico's, omdat aanvallers deze keys kunnen misbruiken voor kwaadwillende acties.
Microsoft heeft inmiddels meer dan 3.000 openbaar beschikbare keys geïdentificeerd die kunnen worden gebruikt voor zogenaamde ViewState-code-injectieaanvallen. In tegenstelling tot eerdere aanvallen, waarbij vaak gestolen of gecompromitteerde keys werden gebruikt, vormen deze openbaar beschikbare keys een mogelijk groter risico. Ze zijn immers eenvoudig toegankelijk en kunnen zonder aanpassingen in ontwikkelcode zijn geïntegreerd.
Aanbevelingen voor beveiliging
Microsoft adviseert organisaties om geen keys uit openbare bronnen te kopiëren en regelmatig keys te roteren. Met Microsoft Defender for Endpoint kunnen organisaties het risico verkleinen door openbaar beschikbare keys te detecteren. Daarnaast heeft Microsoft voorbeelden van keys verwijderd uit beperkte gevallen waarin deze in eigen documentatie waren opgenomen.
In december 2024 werd één openbaar beschikbare key gebruikt voor een code-injectieaanval. Microsoft Threat Intelligence blijft het gebruik van deze aanvalstechniek monitoren. In een blog deelt het bedrijf meer informatie over ViewState-code-injectieaanvallen en geeft het aanbevelingen voor het beveiligen van machinekeys en het monitoren van configuratiebestanden.
Wat zijn ViewState-code-injectieaanvallen?
ViewState is een methode in ASP.NET Web Forms om de status van pagina's en controls tussen postbacks te behouden. ViewState-gegevens worden opgeslagen in een verborgen veld op de pagina en zijn gecodeerd met Base64. Om ViewState te beschermen tegen manipulatie en informatielekken, gebruikt het ASP.NET-paginaframework machinekeys: ValidationKey en DecryptionKey. Als deze keys worden gestolen of toegankelijk zijn voor aanvallers, kunnen ze een kwaadwillende ViewState maken en deze naar een website sturen via een POST-verzoek. Wanneer het verzoek wordt verwerkt, wordt de schadelijke code geladen en uitgevoerd, wat de aanvaller remote code execution-mogelijkheden geeft op de doelserver.
ViewState-aanval leidt tot Godzilla-framework
In december 2024 gebruikte een niet-toegeschreven threat actor een openbaar bekende machinekey voor een ViewState-code-injectieaanval. De kwaadwillende ViewState laadde een Godzilla post-exploitation framework, gevolgd door pluginmodules. Godzilla biedt functionaliteiten zoals het uitvoeren van schadelijke commando's en het injecteren van shellcode in processen.
Microsoft blijft waakzaam en roept organisaties op om hun beveiligingspraktijken te versterken om dergelijke aanvallen te voorkomen.
Dutch IT events
Alle events
Meer over cybercrime
Over Witold Kepinski
