Microsoft Avverte: Chiavi ASP.NET Esposte Facilitano Attacchi

Microsoft ha identificato oltre 3.000 chiavi macchina ASP.NET esposte pubblicamente, che potrebbero consentire agli attori delle minacce di eseguire attacchi di injection di codice sui server aziendali. Il team di Microsoft Threat Intelligence ha riferito che a dicembre un attaccante non identificato ha sfruttato una chiave macchina ASP.NET disponibile pubblicamente per iniettare codice dannoso e distribuire il framework di post-exploitation Godzilla. Questo strumento, precedentemente collegato dalle autorità statunitensi a gruppi di hacker sponsorizzati dallo stato cinese, consente agli aggressori di creare web shell e stabilire backdoor persistenti.

Secondo Microsoft, la causa principale di questa vulnerabilità è la pratica insicura diffusa tra gli sviluppatori, che incorporano chiavi macchina ASP.NET condivise pubblicamente trovate nella documentazione e nei repository di codice. Queste chiavi, progettate per proteggere il meccanismo ViewState di ASP.NET, possono essere sfruttate per creare payload ViewState dannosi che concedono l’esecuzione remota di codice sui server IIS (Internet Information Services).

A differenza degli attacchi ViewState precedenti, che si basavano su chiavi rubate o compromesse vendute nei forum del dark web, queste chiavi divulgate pubblicamente rappresentano un rischio ancora maggiore a causa della loro accessibilità attraverso più fonti. Microsoft ha esortato gli sviluppatori a smettere di utilizzare chiavi statiche condivise pubblicamente e a ruotare regolarmente quelle esistenti.

Gli esperti di sicurezza di Microsoft hanno rilasciato un repository su GitHub contenente i valori hash delle chiavi esposte conosciute e hanno fornito uno script per aiutare le organizzazioni a scansionare le proprie reti alla ricerca di vulnerabilità. Inoltre, Microsoft Defender for Endpoint ora include un avviso etichettato “Publicly disclosed ASP.NET machine key” per facilitare il rilevamento delle minacce.

Poiché l’entità dell’esposizione è ancora incerta, Microsoft invita gli sviluppatori e gli amministratori IT a rafforzare le pratiche di sicurezza per impedire che queste chiavi vengano sfruttate per intrusioni informatiche. Si consiglia vivamente alle organizzazioni di eseguire una revisione dei propri sistemi, aggiornare le pratiche di sicurezza e rimuovere eventuali chiavi hardcoded dai repository pubblici per mitigare i rischi potenziali.

Source: Cybersecurity Dive

La European Cyber Intelligence Foundation è un think tank no-profit specializzato in intelligence e sicurezza informatica, che offre servizi di consulenza agli enti governativi. Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net, oppure puoi provare tu stesso utilizzando check.website.