Microsoft ha identificado más de 3.000 claves de máquina ASP.NET de acceso público que los atacantes están utilizando activamente para inyectar código malicioso en servidores web IIS. El descubrimiento destaca una creciente preocupación de seguridad: los desarrolladores han estado exponiendo sin saberlo las claves de las máquinas confidenciales en repositorios públicos, documentación y aplicaciones mal configuradas, permitiendo potencialmente a los malos actores ejecutar el código arbitrario de forma remota.
El método de ataque implica explotar ViewState , una función en ASP.NET que almacena datos de página cifrados cifrados. Al obtener una clave de máquina válida, los ciberdelincuentes pueden crear cargas útiles de estatal de vista maliciosas que los servidores de IIS descifran y ejecutan, sin pasar por alto efectivamente la autenticación.
Uno de los casos más preocupantes, observados en diciembre de 2024, involucró a un atacante usando una máquina filtrada. clave para inyectar una carga útil ViewState e implementar godzilla web shell . Esta herramienta otorga acceso persistente a servidores comprometidos, lo que permite a los atacantes ejecutar comandos y evadir la detección.
La cadena de ataque de inyección de código ViewState que conduce al despliegue de shell de Godzilla (Imagen: Microsoft)
El descubrimiento se suma a las crecientes preocupaciones sobre el aumento de los ataques que explotan la información disponible públicamente. El Informe de Defensa Digital de Microsoft 2024 reveló que los ataques cibernéticos impulsados por la IA ya han superado a 600 millones de incidentes por día, con atacantes que automatizan el reconocimiento para explotar credenciales filtrados y configuraciones erróneas.
ASP.NET usa claves de la máquina: ValidationKey y DecrytionKey -para asegurar ViewState, evitando la manipulación. Si estas claves están expuestas, los atacantes pueden crear cargas útiles maliciosas que parecen legítimas, engañando a los servidores de IIS para ejecutarlas.
El ataque funciona de la siguiente manera: los ciberdelincuentes buscan claves de la máquina disponibles en repositorios, documentación o configuraciones filtradas.
Una vez que se encuentra una clave, generan una carga útil de ViewState maliciosa y la envían como una solicitud HTTP al servidor de destino. Dado que el servidor reconoce la clave como legítima, procesa la carga útil y ejecuta el código del atacante, manteniendo el acceso completo del sistema sin autenticación.
según Microsoft Aviso de seguridad , este problema destaca una seguridad grave Supervisión: Muchas organizaciones están ejecutando configuraciones que los atacantes pueden explotar con un esfuerzo mínimo.
en diciembre de 2024 Ataque: los piratas informáticos usan la clave pública para desplegar Godzilla
La seguridad de Microsoft’s Security’s Security’s Security’s Security Los investigadores investigaron un ataque del mundo real en diciembre de 2024, donde un actor de amenaza aprovechó una clave de máquina disponible públicamente para inyectar el código Malicioso ViewState. El objetivo era un servidor IIS que ejecutaba ASP.NET, que descifró la carga útil y, sin saberlo, la ejecutó.
Como resultado, el atacante desplegó el shell web de Godzilla para mantener el acceso no autorizado. A diferencia del malware tradicional, que a menudo deja los archivos ejecutables, Godzilla opera completamente en la memoria, lo que dificulta mucho la detección de las herramientas antivirus..
El ataque subraya un riesgo creciente de seguridad cibernética: los atacantes ya no solo están explotando vulnerabilidades de software: se dirigen cada vez más a las configuraciones erróneas y credenciales expuestas para obtener acceso a sistemas críticos.
Recomendaciones de seguridad de Microsoft para los usuarios de ASP.NET
Para mitigar el riesgo de ataques de inyección de ViewState, Microsoft recomienda varias medidas de seguridad:
Los desarrolladores deben asegurarse de que las claves de la máquina ASP.NET son únicos y generados de forma segura, en lugar de copiarse de fuentes externas. Las organizaciones también deben girar regularmente sus claves de la máquina para evitar la exposición a largo plazo.
Otro paso crítico es encriptar el archivo `web.config`, que almacena las claves de la máquina. Microsoft también aconseja actualizar a ASP.NET 4.8, que integra antimalware escane (AMSI) , ayudando a los servidores IIS a detectar y bloquear las cargas útiles de ViewState maliciosos.