Une attaque d’injection de code Viewstate repérée par les chercheurs de Microsoft Threat en décembre 2024 pourrait être facilement reproduite par d’autres attaquants, a averti la société.
«Au cours de l’enquête, de la correction et de la construction de protections contre cette activité, nous avons observé une pratique non sécurisée par laquelle les développeurs ont incorporé diverses clés de machine ASP.NET divulguées à partir de ressources accessibles au public, telles que la documentation du code et les référentiels, que les acteurs menacés ont utilisé pour effectuer des actions malveillantes sur les serveurs cibles. »
L’attaque
ASP.NET est un cadre Web open source pour la création d’applications Web, de services et d’API modernes, dynamiques et évolutives.
«ViewState est la méthode par laquelle ASP.NET Forms Web Page de conservation et l’état de contrôle entre les post-doss. Les données ViewState sont stockées dans un champ caché sur la page et sont codées à l’aide du codage Base64 », a expliqué Microsoft.
«Pour protéger ViewState contre la falsification et la divulgation d’informations, le framework de page ASP.NET utilise les touches de la machine: validationKey et DecryptionKey. ValidationKey est utilisé pour créer un code d’authentification de message (Mac) à joindre dans la vue ViewState. DecryptionKey est lié à l’option de cryptage ViewState. Ces clés sont soit générées automatiquement et stockées dans le registre ou spécifiées manuellement dans [web.]Files de configuration. “
Ces clés de machine peuvent être utilisées pour élaborer une vue malveillante, qui peut être envoyée aux sites Web cibles via une simple demande HTTP Post.
«Lorsque la demande est traitée par ASP.NET Runtime sur le serveur ciblé, la vue est décryptée et validée avec succès car les bonnes touches sont utilisées. Le code malveillant est ensuite chargé dans la mémoire du processus de travail et exécuté, fournissant les capacités d’exécution du code à distance de l’acteur de menace sur l’iis cible IIS [Internet Information Services] serveur Web [which is used to host and manage web applications, websites, and services on Windows servers]. “
Les clés de la machine ne sont pas censées être publiques mais, selon Microsoft, il y en a plus de 3 000 divulguées publiquement dans divers référentiels de code et auraient pu être poussés dans le code de développement.
L’attaque de décembre a été limitée et a abouti au chargement de l’acteur de menace et à l’exécution du cadre / webshelworks post-exploitation sans fidèle de Godzilla.
Chaîne d’attaque d’injection de code Viewstate menant à Godzilla (source: Microsoft)
Ce qu’il faut faire?
“Microsoft recommande que les organisations ne copient pas les clés à partir de sources accessibles au public et ne tournent régulièrement des clés”, a indiqué la société.
Ils ont également fourni une liste de valeurs de hachage pour les clés de machine divulguées publiquement identifiées et un script que les organisations peuvent utiliser pour vérifier si les clés de la machine dans leur environnement sont parmi elles.
«Si une exploitation réussie des clés divulguées publiquement s’est produite, les clés de la machine rotatives ne traiteront pas suffisamment de décharges ou de méthodes de persistance établies par un acteur de menace ou une autre activité post-exploitation, et une enquête supplémentaire peut être justifiée. En particulier, les serveurs orientés Web doivent être entièrement étudiés et fortement pris en considération pour la reformatage et la réinstallation dans un milieu hors ligne dans les cas où des clés divulguées publiquement ont été identifiées, car ces serveurs sont le plus à risque d’exploitation possible », a ajouté Microsoft .
