Microsoft Advierte: Claves de ASP.NET Expuestas Facilitan Ataques

Microsoft ha identificado más de 3.000 claves de máquina ASP.NET expuestas públicamente que podrían permitir a los actores de amenazas ejecutar ataques de inyección de código en servidores empresariales. El equipo de Microsoft Threat Intelligence informó que en diciembre, un atacante no identificado explotó una clave de máquina ASP.NET disponible públicamente para inyectar código malicioso y desplegar el framework de post-explotación Godzilla. Esta herramienta, previamente vinculada por las autoridades estadounidenses a grupos de hackers patrocinados por el estado chino, permite a los atacantes crear web shells y establecer puertas traseras persistentes.

Según Microsoft, la causa principal de esta vulnerabilidad es la práctica insegura generalizada entre los desarrolladores, que incorporan claves de máquina ASP.NET compartidas públicamente encontradas en documentación y repositorios de código. Estas claves, diseñadas para proteger el mecanismo ViewState de ASP.NET, pueden ser explotadas para crear cargas útiles ViewState maliciosas que otorgan ejecución remota de código en servidores IIS (Internet Information Services).

A diferencia de los ataques ViewState anteriores, que dependían de claves robadas o comprometidas vendidas en foros de la dark web, estas claves divulgadas públicamente representan un riesgo aún mayor debido a su accesibilidad en múltiples fuentes. Microsoft ha instado a los desarrolladores a dejar de usar claves estáticas compartidas públicamente y a rotar regularmente las existentes.

Los expertos en seguridad de Microsoft han publicado un repositorio en GitHub que contiene los valores hash de las claves expuestas conocidas y han proporcionado un script para ayudar a las organizaciones a escanear sus redes en busca de vulnerabilidades. Además, Microsoft Defender for Endpoint ahora incluye una alerta etiquetada como “Publicly disclosed ASP.NET machine key” para facilitar la detección de amenazas.

Dado que la magnitud de la exposición aún no está clara, Microsoft hace un llamado a los desarrolladores y administradores de TI para fortalecer las prácticas de seguridad y evitar que estas claves sean utilizadas para intrusiones cibernéticas. Se recomienda encarecidamente a las organizaciones auditar sus sistemas, actualizar sus prácticas de seguridad y eliminar cualquier clave hardcoded de los repositorios públicos para mitigar posibles riesgos.

Source: Cybersecurity Dive

La European Cyber Intelligence Foundation es un think tank sin fines de lucro especializado en inteligencia y ciberseguridad, que ofrece servicios de consultoría a entidades gubernamentales. Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net, o puedes intentarlo tú mismo usando check.website.