A inteligência da Microsoft ameaça em dezembro observou um “ator de ameaças” usando uma chave de máquina ASP.NET disponível publicamente para injetar código malicioso e buscar a estrutura de pós-exploração de Godzilla, um shell “backdoor” usado por invasores para executar comandos e manipular arquivos. A Companhia identificou mais de 3.000 chaves de máquina ASP.NET divulgadas publicamente – as chaves divulgadas na documentação e repositórios de código – que poderiam ser usados ​​nesses tipos de ataques, chamados ataques de injeção de código ViewState.

Em resposta, a Microsoft Threat Intelligence está alertando as organizações para não copiar as chaves de fontes publicamente disponíveis e pedindo -lhes que girassem regularmente as chaves. Em um boletim de 6 de fevereiro, a Microsoft Threat Intelligence disse que, ao investigar e proteger contra essa atividade, observou uma prática insegura pela qual os desenvolvedores usaram publicamente as chaves da máquina do ASP.NET da documentação do código, repositórios e outras fontes públicas que foram então usadas por Ameaça os atores para executar ações maliciosas em servidores de destino. Embora muitos ataques de injeção de código viewstate anteriormente conhecidos usassem teclas comprometidas ou roubadas que foram vendidas nos fóruns da Web Dark, essas chaves divulgadas publicamente podem representar um risco maior porque estão disponíveis em vários repositórios de código e poderiam ter sido empurrados para o código de desenvolvimento sem modificação, Microsoft disse. A atividade maliciosa limitada que Microsoft observou em dezembro incluiu o uso de uma chave divulgada publicamente para injetar código malicioso. A inteligência da Microsoft Threat continua a monitorar o uso adicional dessa técnica de ataque, disse a Microsoft.

ViewState é o método pelo qual os formulários da Web do ASP.NET preservam a página e o controle entre os postagens, disse o Microsoft Ameak Intelligence. Os dados do ViewState são armazenados em um campo oculto na página e são codificados. Para proteger o ViewState contra violação e divulgação, a estrutura da página do ASP.NET usa teclas de máquina. “Se essas chaves forem roubadas ou acessíveis aos atores de ameaças, esses atores de ameaças podem criar um estate de vista malicioso usando as teclas roubadas e enviá -las ao site por meio de uma solicitação de postagem”, disse o Microsoft Ameak Intelligence no boletim. “Quando a solicitação é processada pelo tempo de execução do ASP.NET no servidor direcionado, o ViewState é descriptografado e validado com sucesso porque as teclas corretas são usadas. O código malicioso é então carregado na memória do processo do trabalhador e executado, fornecendo aos recursos de execução de código remoto do ator de ameaças no servidor da Web do IIS de destino. ”

Juliana Ribeiro
Juliana Ribeiro

Juliana Ribeiro é uma respeitada e talentosa redatora que trabalha do Tudo SEO. Com um profundo entendimento das nuances do SEO e seu impacto na visibilidade digital, Juliana usa sua expertise para educar e inspirar os leitores.

Entrando na indústria da escrita como redatora freelancer, ela rapidamente subiu na hierarquia para se tornar uma voz confiável no campo do SEO. Sua jornada na revista é marcada por muitos artigos perspicazes que ajudaram muitas empresas a entender melhor e aproveitar o SEO para melhorar sua visibilidade online.

Juliana também dedicou uma grande parte de seu tempo para estudar as últimas tendências em SEO e manter-se atualizada sobre todas as mudanças no algoritmo do Google. Através de seu trabalho, ela se esforça para quebrar conceitos complexos em ideias fáceis de entender para profissionais de marketing de todos os níveis.