Microsoft warnt: Offen gelegte ASP.NET-Schlüssel ermöglichen Angriffe

Microsoft hat über 3.000 öffentlich zugängliche ASP.NET-Maschinenschlüssel identifiziert, die es Bedrohungsakteuren ermöglichen könnten, Code-Injektionsangriffe auf Unternehmensserver durchzuführen. Das Microsoft Threat Intelligence-Team berichtete, dass im Dezember ein nicht identifizierter Angreifer einen öffentlich verfügbaren ASP.NET-Maschinenschlüssel nutzte, um bösartigen Code zu injizieren und das Godzilla-Post-Exploitation-Framework einzusetzen. Dieses Tool wurde zuvor von US-Behörden mit staatlich geförderten chinesischen Hackergruppen in Verbindung gebracht und ermöglicht es Angreifern, Web-Shells zu erstellen und persistente Hintertüren einzurichten.

Laut Microsoft liegt die Hauptursache dieser Schwachstelle in der weit verbreiteten unsicheren Praxis, dass Entwickler öffentlich geteilte ASP.NET-Maschinenschlüssel aus Dokumentationen und Code-Repositorys verwenden. Diese Schlüssel, die eigentlich das ViewState-Mechanismus von ASP.NET sichern sollen, können missbraucht werden, um schädliche ViewState-Payloads zu erstellen, die eine Remote-Code-Ausführung auf IIS (Internet Information Services)-Servern ermöglichen.

Im Gegensatz zu früheren ViewState-Angriffen, die auf gestohlenen oder kompromittierten Schlüsseln basierten, die auf Dark-Web-Foren verkauft wurden, stellen diese öffentlich offengelegten Schlüssel ein noch größeres Risiko dar, da sie in mehreren Quellen zugänglich sind. Microsoft hat Entwickler dringend dazu aufgefordert, keine statischen, öffentlich geteilten Schlüssel mehr zu verwenden und bestehende regelmäßig zu rotieren.

Die Sicherheitsexperten von Microsoft haben ein GitHub-Repository veröffentlicht, das Hash-Werte für bekannte exponierte Schlüssel enthält, sowie ein Skript bereitgestellt, mit dem Unternehmen ihre Netzwerke auf Schwachstellen untersuchen können. Darüber hinaus enthält Microsoft Defender for Endpoint jetzt eine Warnung mit dem Titel „Publicly disclosed ASP.NET machine key“, um Bedrohungen besser zu erkennen.

Da das volle Ausmaß der Gefährdung noch unklar ist, fordert Microsoft Entwickler und IT-Administratoren auf, die Sicherheitspraktiken zu verbessern und zu verhindern, dass diese Schlüssel für Cyberangriffe missbraucht werden. Unternehmen wird dringend empfohlen, ihre Systeme zu prüfen, ihre Sicherheitsmaßnahmen zu aktualisieren und fest kodierte Schlüssel aus öffentlichen Repositorys zu entfernen, um potenzielle Risiken zu minimieren.

Source: Cybersecurity Dive

Die European Cyber Intelligence Foundation ist ein gemeinnütziger Think Tank, der sich auf Geheimdienste und Cybersicherheit spezialisiert hat und Beratungsdienste für Regierungsbehörden anbietet. Um potenzielle Bedrohungen zu mindern, ist es wichtig, zusätzliche Cybersicherheitsmaßnahmen mit Hilfe eines vertrauenswürdigen Partners wie INFRA www.infrascan.net umzusetzen, oder Sie können es selbst versuchen mit check.website.