A Microsoft está alertando sobre uma prática insegura na qual desenvolvedores de software estão incorporando chaves de máquina ASP.NET divulgadas publicamente de recursos acessíveis publicamente, colocando assim seus aplicativos no caminho dos invasores.
- Leia também: Hostec lança novo recurso de Backup com JetBackup: Proteção garantida para seu site
- Leia também: Qual é o melhor lugar para anunciar seus serviços online
- Leia também: Quem é o profissional certo para criar um site para minha empresa
- Leia também: Entenda o que é cache e como ele pode ajudar na otimização do seu WordPress
A equipe de inteligência de ameaças da gigante da tecnologia disse ter observado atividade limitada em dezembro de 2024 que envolveu um agente de ameaça desconhecido usando uma chave de máquina ASP.NET estática e disponível publicamente para injetar código malicioso e entregar a estrutura pós-exploração do Godzilla .
Ele também observou que identificou mais de 3.000 chaves divulgadas publicamente que poderiam ser usadas para esses tipos de ataques, que ele chama de ataques de injeção de código ViewState.
“Enquanto muitos ataques de injeção de código ViewState conhecidos anteriormente usavam chaves comprometidas ou roubadas, que geralmente são vendidas em fóruns da dark web, essas chaves divulgadas publicamente podem representar um risco maior porque estão disponíveis em vários repositórios de código e podem ter sido inseridas no código de desenvolvimento sem modificação”, disse a Microsoft .
ViewState é um método usado no framework ASP.NET para preservar valores de página e controle entre postbacks. Isso também pode incluir dados de aplicativo que são específicos de uma página.
“Por padrão, os dados do estado de exibição são armazenados na página em um campo oculto e são codificados usando codificação base64”, a Microsoft observa em sua documentação. “Além disso, um hash dos dados do estado de exibição é criado a partir dos dados usando uma chave de código de autenticação de máquina (MAC). O valor do hash é adicionado aos dados do estado de exibição codificados e a string resultante é armazenada na página.”
Ao usar um valor hash, a ideia é garantir que os dados do view state não tenham sido corrompidos ou adulterados por agentes mal-intencionados. Dito isso, se essas chaves forem roubadas ou disponibilizadas a terceiros não autorizados, isso abre a porta para um cenário em que o agente da ameaça pode aproveitar as chaves para enviar uma solicitação maliciosa do ViewState e executar código arbitrário.
“Quando a solicitação é processada pelo ASP.NET Runtime no servidor alvo, o ViewState é descriptografado e validado com sucesso porque as chaves certas são usadas”, observou Redmond. “O código malicioso é então carregado na memória do processo de trabalho e executado, fornecendo ao agente da ameaça capacidades de execução remota de código no servidor web IIS alvo.”
A Microsoft forneceu uma lista de valores de hash para as chaves de máquina divulgadas publicamente, pedindo aos clientes que as verifiquem em relação às chaves de máquina usadas em seus ambientes. Ela também alertou que, no caso de uma exploração bem-sucedida de chaves divulgadas publicamente, apenas rotacionar as chaves não serão suficientes, pois os agentes da ameaça podem já ter estabelecido persistência no host.
Para mitigar o risco representado por tais ataques, é aconselhável não copiar chaves de fontes publicamente disponíveis e rotacionar as chaves regularmente. Como mais um passo para deter os agentes de ameaças, a Microsoft disse que removeu artefatos de chave de “instâncias limitadas” onde eles estavam incluídos em sua documentação.
O desenvolvimento ocorre no momento em que a empresa de segurança em nuvem Aqua revelou detalhes de um bypass do OPA Gatekeeper que poderia ser explorado para conduzir ações não autorizadas em ambientes Kubernetes, incluindo a implantação de imagens de contêineres não autorizadas.
“Na política k8sallowedrepos, um risco de segurança surge de como a lógica do Rego é escrita no arquivo ConstraintTemplate”, disseram os pesquisadores Yakir Kadkoda e Assaf Morag em uma análise compartilhada com o The Hacker News.
- Leia também: 6 Benefícios em otimizar as imagens do seu site na web
- Leia também: Entenda como funciona o Google e outros buscadores na internet
- Leia também: O que são Landing Pages, leads e automação de marketing
- Leia também: 5 Benefícios em ter um suporte técnico em português para o seu site
“Esse risco é ainda mais amplificado quando os usuários definem valores no arquivo Constraint YAML que não se alinham com a forma como a lógica do Rego os processa. Essa incompatibilidade pode resultar em desvios de política, tornando as restrições ineficazes.”
