微软示警 ASP.NET 重大安全漏洞，超 3000 公开密钥恐致服务器沦陷

IT之家 2 月 7 日报道，知名科技媒体 bleepingcomputer 在昨日（2 月 6 日）发布了一篇博文，指出微软发出警告称，某些攻击者正在利用公开的 ASP.NET 静态密钥，实行 ViewState 代码注入攻击，以部署恶意软件。

微软的威胁情报团队最近注意到，有开发者在其软件项目中使用了在公共代码文档和代码库上公开的 ASP.NET validationKey 和 decryptionKey 密钥（这些密钥本应用于保护 ViewState 免受篡改和数据泄露）。

攻击者利用这些已公开的密钥实施代码注入攻击，通过附加伪造的消息认证码（MAC）生成恶意 ViewState（ViewState 为 ASP.NET Web 窗体所使用，以控制状态和存储页面信息）。

攻击者通过发送 POST 请求，将恶意 ViewState 传送至目标服务器，而该服务器上的 ASP.NET Runtime 则使用正确的密钥进行解密，确认攻击者伪造的 ViewState 数据，随后将恶意 ViewState 加载至工作进程内存并执行，让攻击者能够在 IIS 服务器上远程执行代码并引入其他恶意软件。

根据 IT之家引述的博文，微软在 2024 年 12 月观察到一起攻击事件，攻击者利用这些公开的密钥向目标的互联网信息服务（IIS） Web 服务器部署了 Godzilla 后渗透框架，该框架拥有恶意命令执行和 Shellcode 注入等功能。

微软已识别出超过 3000 个公开的密钥，这些密钥都可能被用于 ViewState 代码注入攻击。在过去，已知的 ViewState 代码注入攻击多依赖于从暗网上购买的被盗密钥，而这些公开密钥广泛存在于多个代码库中，开发者在未加修改情况下直接复制使用，因而风险更大。

微软还提供了使用 PowerShell 或 IIS 管理器控制台在 web.config 配置文件中移除或替换 ASP.NET 密钥的具体步骤，同时从其公开文档中撤回了密钥示例，以防止这种不安全行为的继续。

微软警告如果已经发生利用公开密钥的攻击，单靠更新密钥可能无法消除攻击者已建立的后门或持久化机制及其他后渗透活动，进而可能需要进行更深层的调查。

广告声明：文中包含的对外跳转链接（如超链接、二维码、口令等），用以提供更多信息，节省筛选时间，结果仅供参考。