Microsoft: attacchi di code injection con chiavi ASP.NET pubbliche

Microsoft ha criticato una pratica insicura tra alcuni sviluppatori ASP.NET. Si tratta dell'uso di chiavi machineKey statiche reperite da fonti pubbliche, come documentazione o repository di codice. Queste chiavi, tra cui ValidationKey e DecryptionKey, sono fondamentali per garantire l'integrità e la sicurezza del ViewState nelle applicazioni web. La loro adozione espone però le stesse app a gravi rischi di sicurezza.

Microsoft: attenzione alle chiavi ASP.NET pubbliche

A dicembre 2024 Microsoft Threat Intelligence ha scoperto un utente malintenzionato (non identificato) intento a sfruttare una chiave machineKey pubblica per iniettare codice dannoso e distribuire il framework post-exploitation Godzilla. Quest'ultimo consente l'esecuzione di comandi malevoli, l'iniezione di shellcode e altre attività arbitrarie sul server compromesso.

L'attacco si basa sull'invio di un ViewState al server tramite una richiesta POST. Poiché il ViewState è firmato con una chiave conosciuta, il server lo accetta come valido. Viene quindi consentita l'esecuzione del codice nel processo di lavoro dell'applicazione. Tale metodo offre la possibilità di eseguire codice remoto sui server IIS.

Microsoft ha identificato oltre 3 mila chiavi machineKey divulgate pubblicamente che potrebbero essere utilizzate per questo tipo di attacchi. A differenza di quelli precedenti, che utilizzavano chiavi compromesse o rubate, l'uso di chiavi pubbliche rappresenta un rischio maggiore perché esse sono facilmente accessibili e potrebbero essere state integrate nel codice di un progetto senza le necessarie modifiche.

Pratiche per la mitigazione del rischio

Per mitigare i rischi descritti in precedenza Microsoft raccomanda di:

• Evitare l'uso di chiavi da fonti pubbliche, gli sviluppatori dovrebbero quindi generare chiavi uniche e sicure per ciascuna applicazione, non copiare chiavi da risorse accessibili pubblicamente.
• Definire una politica di rotazione periodica delle chiavi per ridurre la possibilità che una chiave compromessa venga utilizzata per gli attacchi.
• Utilizzare strumenti come Microsoft Defender for Endpoint per rilevare chiavi machineKey divulgate pubblicamente.
• Verificare le configurazioni delle applicazioni per assicurarsi che non contengano chiavi statiche o note.

Adottando queste precauzioni si può rafforzare la sicurezza delle applicazioni ASP.NET e ridurre il rischio di compromissioni dovute a pratiche inadeguate di gestione delle chiavi. Microsoft ha poi rimosso esempi di chiavi machineKey dalla propria documentazione pubblica per scoraggiarne l'uso.