Microsoft warnt vor Angreifern, die über öffentlich zugängliche ASP.NET-Schlüssel Malware auf Rechnern verbreiten. Das Unternehmen hat nach eigenen Angaben bereits mindestens 3.000 solcher Schlüssel gefunden, mit denen Angreifer so genannte ViewState-Code-Injection-Angriffe durchführen können.
Microsoft schreibt in einem Warnhinweis, dass seine Threat Intelligence-Abteilung die ersten derartigen Angriffe im Dezember letzten Jahres entdeckt hat. Dabei handelt es sich um Angriffe, bei denen Angreifer eine Funktion in ViewState für ASP.NET missbrauchen, indem sie Standardschlüssel einsetzen.
Mit ViewState können Webformulare über ASP.NET Persistenz erhalten, um beispielsweise Benutzereingaben zu speichern, wenn eine Seite aktualisiert wird. Dabei verwendet die ViewState-Funktionalität zwei Schlüssel, den validationKey und den decryptionKey, die den ViewState vor Änderungen von außen schützen. Normalerweise werden diese Schlüssel automatisch generiert, sie können aber auch in Konfigurationsdateien abgelegt werden.
Microsoft warnt nun davor, dass einige Entwickler Schlüssel verwenden, die aus öffentlichen Quellen wie Code-Dokumentation oder Repos stammen. Wenn ein Angreifer solche Schlüssel verwendet, ist es möglich, die ViewState-Funktionalität zu missbrauchen. Microsoft weist darauf hin, dass es mindestens 3.000 solcher Schlüssel online gibt, die theoretisch für ViewState-Code-Injection-Angriffe verwendet werden könnten. In wie vielen Fällen dies tatsächlich geschieht, sagt Microsoft nicht.
Laut Microsoft haben Hacker solche öffentlichen Schlüssel verwendet, um mindestens einen Angriff auszuführen. Dabei luden die Angreifer das Godzilla-Framework, einschließlich einer Reihe von Plug-Ins. Godzilla erlaubt die Ausführung von Befehlen, was laut Microsoft dazu missbraucht wurde, Shellcode in bestimmte Prozesse einzuschleusen.
