2 月 7 日消息，科技媒體 bleepingcomputer 昨日（2 月 6 日）發(fā)布博文，報(bào)道稱微軟發(fā)出示警，有攻擊者正利用網(wǎng)上公開(kāi)的 ASP.NET 靜態(tài)密鑰，通過(guò) ViewState 代碼注入攻擊部署惡意軟件。

微軟威脅情報(bào)專家近期發(fā)現(xiàn)，一些開(kāi)發(fā)者在軟件開(kāi)發(fā)中使用了在代碼文檔和代碼庫(kù)平臺(tái)上公開(kāi)的 ASP.NET validationKey 和 decryptionKey 密鑰（這些密鑰原本設(shè)計(jì)用于保護(hù) ViewState 免遭篡改和信息泄露）。

然而，攻擊者也利用這些公開(kāi)的密鑰進(jìn)行代碼注入攻擊，通過(guò)附加偽造的消息認(rèn)證碼（MAC）創(chuàng)建惡意 ViewState（ViewState 由 ASP.NET Web 窗體用于控制狀態(tài)和保存頁(yè)面信息）。

攻擊者通過(guò) POST 請(qǐng)求將惡意 ViewState 發(fā)送到目標(biāo)服務(wù)器，目標(biāo)服務(wù)器上的 ASP.NET Runtime 使用正確的密鑰解密，并驗(yàn)證了攻擊者偽造的 ViewState 數(shù)據(jù)，隨后將惡意 ViewState 加載到工作進(jìn)程內(nèi)存中并執(zhí)行，讓攻擊者得以在 IIS 服務(wù)器上遠(yuǎn)程執(zhí)行代碼并部署其他惡意載荷。

IT之家援引博文介紹，微軟于 2024 年 12 月觀察到一起攻擊事件，攻擊者使用公開(kāi)的密鑰向目標(biāo)互聯(lián)網(wǎng)信息服務(wù)（IIS） Web 服務(wù)器部署了 Godzilla 后滲透框架，該框架具有惡意命令執(zhí)行和 Shellcode 注入功能。

微軟已識(shí)別出超過(guò) 3000 個(gè)公開(kāi)的密鑰，這些密鑰都可能被用于 ViewState 代碼注入攻擊。以往已知的 ViewState 代碼注入攻擊多使用從暗網(wǎng)論壇購(gòu)買的被盜密鑰，而這些公開(kāi)的密鑰存在于多個(gè)代碼庫(kù)中，開(kāi)發(fā)者可能直接將其復(fù)制到代碼中而未進(jìn)行修改，因此風(fēng)險(xiǎn)更高。

微軟還分享了使用 PowerShell 或 IIS 管理器控制臺(tái)在 web.config 配置文件中移除或替換 ASP.NET 密鑰的詳細(xì)步驟，并從其公開(kāi)文檔中刪除了密鑰示例，以進(jìn)一步阻止這種不安全的做法。

微軟警告，如果已經(jīng)發(fā)生利用公開(kāi)密鑰的攻擊，僅僅輪換密鑰不足以解決攻擊者可能建立的后門或持久化機(jī)制以及其他后滲透活動(dòng)，可能需要進(jìn)一步調(diào)查。