Microsoft waarschuwt: Blootgestelde ASP.NET-sleutels maken aanvallen mogelijk

Microsoft heeft meer dan 3.000 openbaar blootgestelde ASP.NET-machinekeys geïdentificeerd die bedreigingsactoren in staat zouden kunnen stellen om code-injectieaanvallen op bedrijfsservers uit te voeren. Het Threat Intelligence-team van Microsoft meldde dat in december een niet-geïdentificeerde aanvaller een openbaar beschikbare ASP.NET-machinekey gebruikte om kwaadaardige code in te voegen en het Godzilla-post-exploitatieframework in te zetten. Dit hulpmiddel werd eerder door Amerikaanse autoriteiten gekoppeld aan door de staat gesteunde Chinese hackersgroepen en stelt aanvallers in staat om webshells te creëren en persistente backdoors te installeren.

Volgens Microsoft is de belangrijkste oorzaak van deze kwetsbaarheid de wijdverbreide onveilige praktijk waarbij ontwikkelaars openbaar gedeelde ASP.NET-machinekeys gebruiken die te vinden zijn in documentatie en code-repositories. Deze sleutels, die bedoeld zijn om het ViewState-mechanisme van ASP.NET te beveiligen, kunnen worden misbruikt om schadelijke ViewState-payloads te genereren die op afstand code-uitvoering op IIS (Internet Information Services)-servers mogelijk maken.

In tegenstelling tot eerdere ViewState-aanvallen, die vaak afhankelijk waren van gestolen of gecompromitteerde sleutels die op het dark web werden verhandeld, vormen deze openbaar blootgestelde sleutels een nog groter risico, omdat ze op meerdere platforms toegankelijk zijn. Microsoft heeft ontwikkelaars met klem aangeraden geen statische, openbaar gedeelde sleutels meer te gebruiken en bestaande sleutels regelmatig te roteren.

De beveiligingsexperts van Microsoft hebben een GitHub-repository gepubliceerd met hashwaarden voor bekende blootgestelde sleutels en hebben een script verstrekt waarmee organisaties hun netwerken kunnen scannen op kwetsbaarheden. Bovendien bevat Microsoft Defender for Endpoint nu een waarschuwing met de titel “Publicly disclosed ASP.NET machine key” om bedreigingen te detecteren.

Omdat de volledige omvang van de blootstelling nog onduidelijk is, roept Microsoft ontwikkelaars en IT-beheerders op om hun beveiligingspraktijken aan te scherpen en te voorkomen dat deze sleutels worden misbruikt voor cyberaanvallen. Organisaties wordt sterk aangeraden hun systemen te auditen, hun beveiligingsmaatregelen te verbeteren en hardcoded sleutels uit openbare repositories te verwijderen om potentiële risico’s te minimaliseren.

Source: Cybersecurity Dive

De European Cyber Intelligence Foundation is een non-profit denktank gespecialiseerd in inlichtingen en cybersecurity en biedt adviesdiensten aan overheidsinstanties. Om potentiële bedreigingen te beperken, is het belangrijk om aanvullende cybersecuritymaatregelen te implementeren met behulp van een betrouwbare partner zoals INFRA www.infrascan.net, of je kunt zelf proberen met check.website.