Microsoft Alerte: Clés ASP.NET Exposées Facilitent les Attaques

Posted on February 7, 2025
Microsoft a identifié plus de 3 000 clés de machine ASP.NET exposées publiquement, qui pourraient permettre aux acteurs malveillants d’exécuter des attaques par injection de code sur des serveurs d’entreprise. L’équipe Microsoft Threat Intelligence a signalé qu’en décembre, un attaquant non identifié avait exploité une clé de machine ASP.NET disponible publiquement pour injecter du code malveillant et déployer le framework de post-exploitation Godzilla. Cet outil, précédemment lié par les autorités américaines à des groupes de hackers parrainés par l’État chinois, permet aux attaquants de créer des web shells et d’établir des portes dérobées persistantes.

Selon Microsoft, la cause principale de cette vulnérabilité est la pratique généralisée et peu sécurisée des développeurs qui intègrent des clés de machine ASP.NET partagées publiquement trouvées dans la documentation et les dépôts de code. Ces clés, conçues pour sécuriser le mécanisme ViewState d’ASP.NET, peuvent être exploitées pour créer des charges utiles ViewState malveillantes permettant l’exécution de code à distance sur les serveurs IIS (Internet Information Services).

Contrairement aux attaques ViewState précédentes, qui reposaient sur des clés volées ou compromises vendues sur des forums du dark web, ces clés divulguées publiquement posent un risque encore plus important en raison de leur accessibilité à partir de plusieurs sources. Microsoft a exhorté les développeurs à cesser d’utiliser des clés statiques partagées publiquement et à les faire tourner régulièrement.

Les experts en sécurité de Microsoft ont publié un dépôt GitHub contenant les valeurs de hachage des clés exposées connues et ont fourni un script permettant aux organisations d’analyser leurs réseaux à la recherche de vulnérabilités. De plus, Microsoft Defender for Endpoint inclut désormais une alerte intitulée “Publicly disclosed ASP.NET machine key” pour aider à la détection des menaces.

Alors que l’ampleur de l’exposition reste incertaine, Microsoft appelle les développeurs et les administrateurs informatiques à renforcer les pratiques de sécurité et à empêcher ces clés d’être utilisées pour des intrusions cybernétiques. Les organisations sont fortement encouragées à auditer leurs systèmes, à mettre à jour leurs pratiques de sécurité et à supprimer toute clé en dur des dépôts publics afin de réduire les risques potentiels.

Source: Cybersecurity Dive

La European Cyber Intelligence Foundation est un think tank à but non lucratif spécialisé dans le renseignement et la cybersécurité, offrant des services de conseil aux entités gouvernementales. Pour atténuer les menaces potentielles, il est important de mettre en œuvre des mesures supplémentaires de cybersécurité avec l’aide d’un partenaire de confiance comme INFRA www.infrascan.net, ou vous pouvez essayer vous-même en utilisant check.website.