Você sabia que mais de 3.000 chaves ASP.NET estão publicamente expostas na internet e podem ser usadas para ataques de injeção de código? A Microsoft revelou recentemente esse risco crescente, alertando desenvolvedores e administradores sobre uma prática comum, mas extremamente perigosa: incorporar chaves de máquina estáticas diretamente no código ou em repositórios públicos. Essa falha pode colocar milhares de aplicações em risco de execução remota de código (RCE).

O que são as chaves de máquina ASP.NET?

No framework ASP.NET, as chaves de máquina (machine keys) têm um papel essencial: proteger a integridade de dados sensíveis, como autenticação, cookies e principalmente o ViewState. O ViewState é um mecanismo que preserva valores de página e controles entre postbacks, garantindo que informações não sejam adulteradas.

Por padrão, os dados do ViewState são armazenados em um campo oculto da página, codificados em base64, junto com um hash gerado pela chave de máquina. Esse hash garante que os dados não foram manipulados. Porém, se a chave for exposta, o atacante pode gerar hashes válidos para requests maliciosos.

O problema das chaves expostas

A Microsoft identificou mais de 3.000 chaves ASP.NET vazadas em repositórios de código público e recursos abertos. Muitas vezes, essas chaves foram copiadas de exemplos, blogs ou até mesmo documentação, e incluídas sem modificação no código de produção.

Isso cria uma brecha enorme, pois qualquer pessoa com acesso à chave pode forjar um ViewState malicioso, injetando código arbitrário em servidores vulneráveis.

Exemplo do risco

  • O atacante copia uma chave ASP.NET pública já conhecida.
  • Ele cria uma requisição ViewState adulterada com código malicioso.
  • O servidor, ao receber o ViewState, valida com sucesso porque a chave bate.
  • O código é carregado em memória e executado, entregando acesso remoto ao invasor.

Em dezembro de 2024, a Microsoft observou um agente de ameaça desconhecido usando esse método para injetar código e entregar a estrutura pós-exploração conhecida como Godzilla.

O ataque de injeção de código ViewState

Esse tipo de ataque é chamado de ViewState code injection. Diferente de outras explorações que dependem de roubo de credenciais ou exploração de vulnerabilidades zero-day, aqui o ponto fraco é a própria configuração insegura dos desenvolvedores.

O impacto é severo: com as chaves corretas em mãos, o invasor consegue executar remote code execution (RCE) diretamente no servidor IIS, comprometendo totalmente o ambiente.

Por que essas chaves representam um risco ainda maior?

Tradicionalmente, ataques ViewState envolviam chaves roubadas ou comprometidas, muitas vezes vendidas em fóruns da dark web. Agora, com chaves publicamente disponíveis, o risco se amplia, porque:

  1. Qualquer pessoa pode acessá-las em repositórios ou exemplos de código.
  2. Elas podem ter sido copiadas por milhares de desenvolvedores sem perceber o perigo.
  3. Não há necessidade de exploração complexa para iniciar o ataque.

O alerta da Microsoft

A equipe de segurança da Microsoft publicou uma lista de valores de hash das chaves de máquina públicas identificadas. A recomendação é que os administradores verifiquem imediatamente se suas chaves estão entre as expostas.

No entanto, a empresa alerta: apenas rotacionar as chaves pode não ser suficiente. Isso porque, caso o ambiente já tenha sido comprometido, os atacantes podem ter implantado backdoors ou estabelecido persistência no host.

Como se proteger contra ataques ViewState

Para reduzir o risco de ataques ViewState baseados em chaves vazadas, as seguintes práticas são recomendadas:

  • Não use chaves de exemplos públicos: gere sempre chaves únicas para cada ambiente.
  • Rotacione chaves regularmente: para evitar que chaves antigas possam ser reutilizadas.
  • Valide logs de segurança: procure por requisições suspeitas ao ViewState.
  • Use criptografia reforçada: configure adequadamente os algoritmos de validação e encriptação no web.config.
  • Faça hardening no IIS: reduza a superfície de ataque com configurações seguras no servidor.

Impacto além do ASP.NET

Curiosamente, esse alerta surgiu ao mesmo tempo em que a Aqua Security revelou falhas em políticas de segurança no Kubernetes (OPA Gatekeeper), mostrando que configurações inseguras são um problema transversal em diferentes tecnologias. Em ambos os casos, não se trata apenas de bugs no software, mas de práticas de implementação que abrem brechas.

Tabela resumo das descobertas

Falha Origem Impacto Mitigação
Chaves ASP.NET públicas Repositórios de código e exemplos Execução remota de código (RCE) Gerar chaves únicas e rotacionar
ViewState Injection Uso indevido das chaves Injeção de código malicioso no IIS Configuração segura no web.config

Conclusão

O vazamento de mais de 3.000 chaves ASP.NET é um lembrete de que a segurança não depende apenas de patches e firewalls, mas também de boas práticas de desenvolvimento. O simples ato de copiar e colar uma chave pública pode ser a porta de entrada para um ataque devastador.

A lição é clara: chaves são segredos e devem ser tratadas como tal. A Microsoft fez sua parte ao emitir o alerta, mas cabe a cada desenvolvedor e administrador garantir que seus ambientes estejam protegidos contra esse tipo de ameaça.


O Futuro do seu Site Começa com um Teste Grátis!

Na Hostbung, seu projeto encontra tudo o que precisa para crescer e permanecer online, 24 horas por dia. Mais do que uma provedora de hospedagem de sites com infraestrutura de ponta, somos uma parceira em todas as etapas da sua jornada digital.
Acreditamos em facilitar sua vida e em construir uma comunidade que realmente faz a diferença. Queremos que você faça parte disso! Por isso, estamos oferecendo uma Hospedagem de site com 30 dias grátis, ou Revenda de hospedagem com 30 dias grátis para você conhecer nosso serviço sem nenhum compromisso.