Взлом через ViewState: публичные ключи ASP.NET стали мишенью хакеров

Microsoft предупредила разработчиков о риске использования публично доступных ключей ASP.NET, которые могут сделать их приложения уязвимыми для атак. Компания зафиксировала попытки злоумышленников использовать такой ключ для доставки вредоносного фреймворка Godzilla.

В декабре 2024 года исследователи Microsoft обнаружили неизвестную хакерскую группу, применяющую публичный статический ключ ASP.NET для выполнения инъекции кода через механизм ViewState. Эта техника позволяет внедрять вредоносный код в веб-приложения, эксплуатируя их механизмы защиты. Специалисты насчитали более 3000 таких публичных ключей, которые могут использоваться в подобных атаках.

Ранее атаки ViewState предполагали использование украденных или проданных на теневых форумах ключей. Однако новая угроза более опасна, так как ключи находятся в открытом доступе и могут быть случайно включены в код разработчиками без должной проверки.

ViewState — это механизм ASP.NET, сохраняющий данные между загрузками страницы. По умолчанию он использует скрытое поле с данными, закодированными в base64, а также хеш-код, созданный с помощью MAC-ключа. Этот хеш позволяет удостовериться, что данные ViewState не были изменены. Однако если ключ становится публичным, злоумышленники могут сформировать вредоносный ViewState-запрос, который сервер воспримет как легитимный, выполнив вредоносный код.

После успешного расшифрования и валидации сервером ASP.NET, вредоносный код загружается в память и исполняется, предоставляя злоумышленникам возможность удаленного выполнения команд на сервере IIS. Microsoft подчеркивает, что при компрометации таких ключей простая их ротация неэффективна, поскольку атакующие к этому моменту могут уже закрепиться в системе.

Для минимизации рисков компания Microsoft рекомендует следующие меры безопасности: не использовать ключи из открытых источников, проводить регулярную смену ключей и верифицировать существующие ключи путем сравнения с опубликованными хешами. В целях повышения безопасности компания даже исключила некоторые ключи из своей официальной документации.