Hackers estão explorando chaves de máquina ASP.NET expostas para injetar um módulo malicioso sofisticado conhecido como “HijackServer” em servidores do Internet Information Services (IIS). Essa vulnerabilidade, que afeta centenas de servidores web globalmente, permite a execução remota de código e compromete a segurança de organizações de todos os tamanhos. Os atacantes identificam aplicações ASP.NET com chaves fracas ou publicamente divulgadas, o que facilita a manipulação do viewstate e a execução de código arbitrário no servidor. Uma vez dentro, eles utilizam técnicas de escalonamento de privilégios para obter controle administrativo e implantam ferramentas de acesso remoto. O HijackServer, um módulo nativo do IIS, não apenas serve como uma porta dos fundos não autenticada, mas também gera páginas de investimento falsas para enganar usuários. Os administradores são aconselhados a rotacionar suas chaves de máquina ASP.NET e a monitorar seus ambientes IIS em busca de módulos suspeitos, uma vez que a exposição de segredos pode deixar as organizações vulneráveis, mesmo que as falhas sejam corrigidas.
Fonte: https://cyberpress.org/asp-net-machine-keys/
🚨BR DEFENSE CENTER: SECURITY BRIEFING
24/10/2025 • Risco: CRITICO
MALWARE
Hackers exploram chaves de máquina ASP.NET expostas para injetar módulos maliciosos
RESUMO EXECUTIVO
O ataque em questão representa uma ameaça significativa para a segurança cibernética, explorando vulnerabilidades em uma tecnologia amplamente utilizada. A necessidade de ações imediatas para proteger as chaves de máquina ASP.NET e monitorar os servidores IIS é crucial para evitar compromissos que podem resultar em perdas financeiras e problemas de conformidade.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras significativas devido a compromissos de dados e interrupções operacionais.
Operacional
Comprometimento de centenas de domínios, incluindo lojas online e portais governamentais.
Setores vulneráveis
['E-commerce', 'Setor público', 'Serviços financeiros']
📊 INDICADORES CHAVE
Mais de 3.000 chaves de máquina expostas.
Indicador
171 instâncias distintas de servidores IIS comprometidos.
Contexto BR
Campanha com distribuição potencialmente ampla entre atores de ameaças.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar a exposição de chaves de máquina ASP.NET e revisar os logs de acesso do IIS.
2
Rotacionar todas as chaves de máquina ASP.NET imediatamente.
3
Monitorar continuamente a presença de módulos suspeitos e atividades anômalas nos servidores IIS.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a possibilidade de compromissos de segurança que podem levar a perdas financeiras e danos à reputação.
⚖️ COMPLIANCE
Implicações legais e de conformidade com a LGPD, especialmente em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
