Microsoft advierte sobre un nuevo y astuto método que utilizan los hackers para propagar malware.
¿Estás utilizando claves disponibles públicamente para ViewState?
Los ataques de inyección de código a través de ViewState pueden permitir la ejecución remota de código, según una advertencia de Microsoft. Los desarrolladores a menudo no generan sus propias claves de máquina para ViewState, y existen miles de claves disponibles públicamente que los ciberdelincuentes pueden utilizar.
Microsoft, a través de su equipo de Inteligencia de Amenazas, ha detallado un nuevo método que permite a los atacantes abusar de una vulnerabilidad en sitios web que utilizan ASP.NET, para poder ejecutar código malicioso de forma remota. Este método, denominado ataques de inyección de código de ViewState, explota la funcionalidad de ViewState, que se utiliza en sitios de ASP.NET para recordar la entrada del usuario y las configuraciones de las páginas al momento de ser actualizadas. Esta información se almacena en una sección oculta de la página, permitiendo que los datos se recarguen sin pérdida al interactuar nuevamente con el sitio.
El problema radica en que muchos desarrolladores optan por usar claves de máquina que encuentran en línea, en lugar de generar las suyas propias. Estas claves son fundamentales para evitar la manipulación del ViewState, que rastrea información en las páginas web. Sin embargo, cuando estas claves son accesibles públicamente, los delincuentes pueden utilizarlas para inyectar contenido dañino en el ViewState de un sitio. Si la clave coincide con la que espera el servidor, este descifra y procesa el código malicioso, permitiendo así que los atacantes ejecuten comandos en el servidor, lo que podría resultar en la ejecución remota de código.
Los investigadores han encontrado más de 3,000 claves públicamente reveladas que podrían ser utilizadas en estos ataques. En algunos casos, los desarrolladores pueden incluso introducir involuntariamente estas claves públicas en su código.
Para mitigar estos riesgos, Microsoft recomienda que los desarrolladores generen sus propias claves de máquina y eviten las que sean predeterminadas o públicas. Además, sugieren asegurar datos sensibles mediante el cifrado de partes de los archivos de configuración. También es aconsejable actualizar a versiones más recientes de ASP.NET y aprovechar características de seguridad como la Interfaz de Escaneo Antimalware (AMSI).
Microsoft ha proporcionado instrucciones para eliminar o reemplazar las claves de máquina inseguras de los archivos de configuración del servidor y ha retirado ejemplos de estas claves de su documentación pública para desalentar esta práctica poco segura.
