Microsoft identifica 3.000 chaves ASP.NET vazadas que permitem ataques de injeção de código

A Microsoft alertou sobre uma prática insegura na qual desenvolvedores de software estão incorporando chaves ASP.NET machine keys divulgadas publicamente em seus códigos. Essa exposição coloca aplicações em risco, tornando-as vulneráveis a ataques de injeção de código por hackers.

A equipe de inteligência de ameaças da Microsoft observou, em dezembro de 2024, uma atividade limitada envolvendo um hacker desconhecido que utilizou uma chave ASP.NET estática e publicamente acessível para injetar código malicioso e entregar o framework de pós-exploração Godzilla. Além disso, a Microsoft identificou mais de 3.000 chaves divulgadas publicamente que podem ser exploradas nesse tipo de ataque, denominado injeção de código ViewState.

Entendendo os Ataques de Injeção de Código ViewState

O ViewState é um método utilizado no framework ASP.NET para preservar valores de páginas e controles entre postbacks, podendo incluir dados específicos da aplicação. Ele armazena as informações em um campo oculto da página, codificado em Base64 e protegido com um hash baseado em uma chave de autenticação de máquina (MAC key).

O objetivo desse hash é garantir que os dados do ViewState não tenham sido alterados por hackers. No entanto, se essas chaves forem roubadas ou disponibilizadas a terceiros sem autorização, um invasor pode utilizá-las para enviar uma requisição maliciosa ao servidor, executando código arbitrário. Quando a solicitação é processada pelo ASP.NET Runtime, o ViewState é descriptografado e validado corretamente, pois as chaves são legítimas. Dessa forma, o código malicioso é carregado na memória do processo do servidor IIS, permitindo que o hacker obtenha execução remota de código (RCE).

Riscos e Medidas de Mitigação

A Microsoft destacou que, enquanto ataques anteriores de injeção de código ViewState utilizavam chaves roubadas e vendidas em fóruns da dark web, essas novas chaves vazadas representam um risco ainda maior, pois foram amplamente compartilhadas em repositórios de código público e podem ter sido incorporadas a projetos sem modificações.

Para reduzir os riscos desse tipo de ataque, a Microsoft recomenda:

• Evitar copiar chaves de fontes públicas e garantir que as chaves sejam exclusivas para cada ambiente.

• Rotacionar regularmente as chaves, mas ciente de que isso pode não ser suficiente caso o invasor já tenha estabelecido persistência no sistema.

• Verificar os hash values das chaves vazadas e compará-los com as chaves utilizadas nos ambientes dos clientes.

• Remover chaves vazadas sempre que detectadas, como fez a própria Microsoft ao excluir artefatos de chaves de instâncias limitadas na sua documentação.

Nova Ameaça em Kubernetes: Bypass no OPA Gatekeeper

Além do alerta sobre as chaves ASP.NET, a Microsoft revelou que a Aqua Security, uma empresa de segurança em cloud, descobriu uma falha no OPA Gatekeeper que pode permitir a execução de ações não autorizadas em ambientes Kubernetes.

Segundo os pesquisadores Yakir Kadkoda e Assaf Morag, o problema surge devido a uma falha na lógica Rego dentro do ConstraintTemplate, que pode levar a bypasses de políticas de restrição. Esse erro é amplificado quando usuários definem valores no arquivo Constraint YAML que não correspondem ao processamento da lógica Rego, tornando as restrições ineficazes.

Via - THN