Microsoft a identifié plus de 3 000 clés de machine ASP.NET accessibles au public que les attaquants utilisent activement pour injecter du code malveillant dans les serveurs Web IIS. La découverte met en évidence une préoccupation de sécurité croissante: les développeurs ont exposé sans le savoir les clés de machine sensibles dans les référentiels publics, la documentation et les applications mal configurées-permettant à de mauvais acteurs d’exécuter à distance le code arbitraire.
La méthode d’attaque implique l’exploitation ViewState , une fonctionnalité dans ASP.net qui stocke les données de page cryptées. En obtenant une touche de machine valide, les cybercriminels peuvent créer des charges utiles de la vue malveillante que les serveurs IIS décryptent et exécutent, en contournant efficacement l’authentification.
L’un des cas les plus préoccupants, observé en décembre 2024, impliquait un attaquant à l’aide d’une machine divulguée Clé pour injecter une charge utile Viewstate et déployer le godzilla web shell . Cet outil accorde un accès persistant à des serveurs compromis, permettant aux attaquants d’exécuter des commandes et d’échapper à la détection.
Viewstate Code Injection Attack Chain conduisant au déploiement de Shell Godzilla (Image: Microsoft)
La découverte ajoute des préoccupations croissantes concernant la montée des attaques qui exploitent les informations accessibles au public. Le rapport sur la défense numérique de Microsoft 2024 a révélé que les cyberattaques axées sur l’IA avaient déjà dépassé 600 millions d’incidents par jour, les attaquants automatisant la reconnaissance pour exploiter les informations d’identification divulguées et les erreurs de configuration.
asp.net utilise des touches de machine- validationkey et decryptionkey —Pour sécuriser la vue, empêcher la falsification. Si ces clés sont exposées, les attaquants peuvent créer des charges utiles malveillantes qui semblent légitimes, incitant les serveurs IIS à les exécuter.
L’attaque fonctionne comme suit: les cybercriminels recherchent des touches de machine accessibles au public dans les référentiels, la documentation ou les configurations divulguées.
Une fois qu’une clé est trouvée, elles génèrent une charge utile malveillante Viewstate et l’envoient sous forme de demande HTTP au serveur cible. Étant donné que le serveur reconnaît la clé comme légitime, il traite la charge utile et exécute le code de l’attaquant-allant un accès complet au système sans authentification.
Selon Microsoft./en-us/security/blog/2025/02/06/code-injection-attacks-using-publy-divullosed-asp-net-machine-keys/”> sector OPTISTIONNEMENT: De nombreuses organisations exécutent sans le savoir des configurations que les attaquants peuvent exploiter avec un minimum d’effort.
Attaque de décembre 2024: Les pirates utilisent la clé publique pour déployer Godzilla
la sécurité de Microsoft Les chercheurs ont enquêté sur une attaque réelle en décembre 2024, où un acteur de menace a tiré parti d’une touche de machine accessible au public pour injecter le code de la vue malveillante. La cible était un serveur IIS exécutant ASP.NET, qui a déchiffré la charge utile et l’a exécuté sans le savoir.
En conséquence, l’attaquant a déployé le shell Web Godzilla pour maintenir un accès non autorisé. Contrairement aux logiciels malveillants traditionnels, qui laissent souvent des fichiers exécutables, Godzilla fonctionne entièrement en mémoire, ce qui rend Microsoft beaucoup plus difficile pour les outils antivirus..
L’attaque souligne un risque croissant de cybersécurité: les attaquants n’exploitent plus les vulnérabilités logicielles-ils ciblent de plus en plus les erreurs de configuration et les informations d’identification exposées pour accéder aux systèmes critiques.
Les recommandations de sécurité de Microsoft pour les utilisateurs d’ASP.NET
Pour atténuer le risque d’attaques d’injection de ViewState, Microsoft recommande plusieurs mesures de sécurité:
Les développeurs doivent s’assurer que les clés machine ASP.NET ASP.NET sont uniques et solidement générés, plutôt que copiés à partir de sources externes. Les organisations doivent également faire pivoter régulièrement leurs clés de machine pour éviter une exposition à long terme.
Une autre étape critique consiste à crypter le fichier `web.config`, qui stocke les clés de la machine. Microsoft conseille également la mise à niveau vers ASP.net 4.8, qui intègre le Anticalware Scan Interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface interface anticalware. (AMSI) , Aider les serveurs IIS à détecter et bloquer les charges utiles de la vue malveillante.
De plus, Les règles de réduction de surface d’attaque (ASR) doivent être appliquées pour empêcher l’exécution du shell Web. Microsoft a également supprimé des exemples de clés de machine de sa propre documentation pour décourager les développeurs de l’utilisation de paramètres par défaut insécurisés.
Plus d’informations sur les résultats et les stratégies d’atténuation de Microsoft peuvent être trouvés dans leur Advisory de sécurité officielle .
