07/02/25
Microsoft обнаружила новую тактику кибератак, при которой злоумышленники используют уязвимость в механизме ViewState для внедрения вредоносного кода. Проблема связана с разработчиками, использующими статические ключи ASP.NET Machine Keys, найденные в открытых источниках, таких как документация по коду и репозитории, пишет Securitylab.
Machine Keys предназначены для защиты ViewState от подделки и утечек данных. Однако хакеры находят публично доступные ключи и используют их для создания вредоносных ViewState, содержащих специально подготовленный код аутентификации сообщений (Message Authentication Code, MAC). При обработке таких ViewState IIS-сервер загружает их в память рабочего процесса и выполняет, что позволяет атакующим исполнять код удаленно и загружать дополнительное вредоносное ПО.
В декабре 2024 года неизвестный киберпреступник использовал один из таких публичных ключей для внедрения инструмента Godzilla, предназначенного для постэксплуатации, выполнения команд и инъекции shell-кода на сервере IIS.
Microsoft выявила более 3000 публично доступных machine keys, которые могут быть использованы для подобных атак. В отличие от ранее известных атак с подделкой ViewState, где использовались украденные ключи, продаваемые в даркнете, новая угроза опаснее: ключи находятся в открытых репозиториях и могут быть случайно включены в разработку без проверки.
В случае успешного проникновения атакующими просто ротация ключей может быть недостаточной. Microsoft настоятельно рекомендует полное расследование инцидента , а для интернет-ориентированных серверов — форматирование и переустановку в автономной среде, поскольку такие системы находятся в группе наибольшего риска.
