Aanvallers maken actief misbruik van publiek beschikbare ASP.NET machine keys om malafide code op Microsoft IIS-webservers te injecteren wat tot verdere compromittering van systemen kan leiden, zo laat Microsoft weten. De machine keys worden gebruikt om de informatie te beschermen die tussen gebruikers van een website en de webserver wordt uitgewisseld.

De keys worden of automatisch gegenereerd en in het register opgeslagen of handmatig in configuratiebestanden opgegeven. Als de keys worden gestolen of beschikbaar worden gemaakt voor aanvallers, kunnen die een zogenoemde malafide ViewState maken en naar de webserver sturen, waarschuwt Microsoft. De ViewState, en de malafide informatie die het bevat, worden vervolgens succesvol ontsleuteld, omdat de juiste machine keys zijn gebruikt. Vervolgens wordt de malafide code uitgevoerd, waardoor de aanvaller toegang tot de IIS-webserver kan krijgen.

Microsoft meldt in een analyse dat het eind 2024 ontdekte dat een aanvaller een malafide ViewState gebruikte voor het infecteren van IIS-webservers met malware. Verder onderzoek wees uit dat de aanvaller niet alleen een publiek beschikbare machine key gebruikte, maar dat ontwikkelaars deze keys binnen hun eigen websites gebruiken. De keys zijn bijvoorbeeld afkomstig uit 'publiek beschikbare middelen', zoals code documentatie en repositories.

Doordat ontwikkelaars deze publieke keys binnen hun eigen code gebruiken, kunnen aanvallers daar weer misbruik van maken. De betreffende keys zijn namelijk publiek. Microsoft vond naar eigen zeggen meer dan drieduizend publiek beschikbare keys die voor dergelijke 'code injection' aanvallen zijn te misbruiken. In de analyse geeft Microsoft advies voor het geval organisaties binnen hun eigen omgeving deze publieke keys aantreffen, maar ook hoe op de juist manier met keys moet worden omgegaan.