攻击者利用一个公共的ASP.NET机器进行ViewState代码注入攻击

2024年12月，微软威胁情报研究人员发现一个威胁行为者利用公共ASP.NET机器密钥部署Godzilla恶意软件，利用了代码中不安全的密钥使用。微软此后发现了超过3,000个公共密钥，这些密钥可以用于进行ViewState代码注入攻击。与以往已知的ViewState代码注入攻击不同，这些攻击通常使用被盗或在暗网论坛上出售的密钥，最新的发现表明，公开披露的密钥风险更高，因为它们在开发代码中使用。

ViewState允许ASP.NET Web Forms在回发之间保留页面和控件状态。ViewState数据存储在页面上的隐藏字段中，并以Base64编码。ASP.NET页面框架使用机器密钥保护ViewState免受篡改和信息泄露。

被盗的机器密钥允许攻击者生成恶意的ViewState数据，从而在ASP.NET运行时处理时，在IIS服务器上执行远程代码。

微软发布的报告中写道：“如果这些密钥被盗或被威胁行为者访问，这些行为者可以使用被盗的密钥生成恶意的ViewState，并通过POST请求将其发送到网站。当请求在目标服务器上由ASP.NET运行时处理时，ViewState将被成功解密和验证，因为使用了正确的密钥。然后，恶意代码将被加载到工作进程的内存中并执行，从而使威胁行为者在目标IIS Web服务器上具备远程代码执行能力。”

微软建议安全生成机器密钥，避免使用默认或公共密钥，加密机密信息，升级到ASP.NET 4.8，并加固服务器。

该公司提供了移除或替换ASP.NET密钥的步骤，并从文档中删除了密钥示例，以防止不安全的做法。

报告总结道：“如果公开披露的密钥被成功利用，轮换机器密钥将无法充分解决威胁行为者可能建立的后门或持久性方法，以及其他后期利用活动，可能需要进一步调查。特别是，面向Web的服务器在发现公开披露的密钥的情况下，应进行全面调查，并强烈考虑在离线环境中重新格式化和重新安装，因为这些服务器最容易受到可能的利用。”

原文始发于微信公众号（黑猫安全）：攻击者利用一个公共的ASP.NET机器进行ViewState代码注入攻击