Microsoft sta mettendo in guardia contro una pratica insicura in cui gli sviluppatori software stanno incorporando chiavi macchina ASP.NET divulgate pubblicamente da risorse accessibili, mettendo così le loro applicazioni nel mirino degli attaccanti.
Microsoft e le chiavi ASP.NET
Il team di intelligence sulle minacce del colosso tecnologico ha osservato un’attività limitata nel dicembre 2024, in cui un attore sconosciuto ha utilizzato una chiave macchina ASP.NET statica e disponibile pubblicamente per iniettare codice malevolo e distribuire il framework di post-sfruttamento Godzilla.
Microsoft ha inoltre affermato di aver identificato oltre 3.000 chiavi divulgate pubblicamente che potrebbero essere sfruttate per questi tipi di attacchi, chiamati attacchi di iniezione di codice ViewState.
“Sebbene molti attacchi precedentemente noti di iniezione di codice ViewState abbiano utilizzato chiavi compromesse o rubate, spesso vendute nei forum del dark web, queste chiavi divulgate pubblicamente potrebbero rappresentare un rischio maggiore perché sono disponibili in molteplici repository di codice e potrebbero essere state integrate nel codice di sviluppo senza modifiche“, ha dichiarato Microsoft.
Il curioso metodo noto come ViewState
ViewState è un metodo utilizzato nel framework ASP.NET per preservare i valori di pagina e controllo tra i postback e questo può includere anche dati applicativi specifici per una pagina.
“Per impostazione predefinita, i dati del ViewState vengono memorizzati nella pagina in un campo nascosto e codificati utilizzando la codifica base64“, osserva Microsoft nella sua documentazione. “Inoltre, un hash dei dati ViewState viene creato utilizzando una chiave di codice di autenticazione della macchina (MAC). Il valore hash viene aggiunto ai dati ViewState codificati e la stringa risultante viene memorizzata nella pagina.”
L’uso di un valore hash ha lo scopo di garantire che i dati ViewState non siano stati corrotti o manomessi da attori malevoli, ma se queste chiavi vengono rubate o rese accessibili a terzi non autorizzati, si apre la possibilità per un attaccante di sfruttarle per inviare una richiesta ViewState malevola ed eseguire codice potenzialmente malevolo.
“Quando la richiesta viene elaborata dal runtime ASP.NET sul server preso di mira, il ViewState viene decrittografato e convalidato con successo perché vengono utilizzate le chiavi corrette“, ha spiegato Microsoft. “Il codice malevolo viene quindi caricato nella memoria del processo worker ed eseguito, fornendo all’attaccante capacità di esecuzione remota del codice sul server web IIS target.”
I dettagli forniti da Microsoft
Microsoft ha fornito un elenco di valori hash relativi alle chiavi macchina divulgate pubblicamente, esortando i clienti a confrontarle con le chiavi macchina utilizzate nei loro ambienti; la casa di Redmond ha inoltre avvertito che, in caso di sfruttamento riuscito delle chiavi divulgate pubblicamente, limitarsi a ruotare le chiavi non sarà sufficiente, poiché gli attaccanti potrebbero già aver stabilito persistenza sull’host.
Per mitigare il rischio di tali attacchi, si consiglia di non copiare chiavi da fonti pubblicamente accessibili e di ruotare regolarmente le chiavi; oltretutto, come ulteriore misura per scoraggiare gli attori malevoli, Microsoft ha rimosso artefatti chiave da “istanze limitate” in cui erano inclusi nella sua documentazione.
Questo sviluppo avviene mentre la società di sicurezza cloud Aqua ha rivelato dettagli su una vulnerabilità che permette di aggirare OPA Gatekeeper, che potrebbe essere sfruttata per eseguire azioni non autorizzate negli ambienti Kubernetes, inclusa la distribuzione di immagini di container non autorizzate.
“Nella policy k8sallowedrepos, un rischio di sicurezza deriva dal modo in cui la logica Rego è scritta nel file ConstraintTemplate“, hanno spiegato i ricercatori Yakir Kadkoda e Assaf Morag in un’analisi che i due ricercatori hanno condiviso.
Alla fine della fiera i ricercatori hanno dichiarato: “Questo rischio è ulteriormente amplificato quando gli utenti definiscono valori nel file Constraint YAML che non sono allineati con il modo in cui la logica Rego li elabora. Questa discrepanza può portare a bypass delle policy, rendendo inefficaci le restrizioni.“
