Poważny błąd w MS ASP.Net

Microsoft poinformował, że w zabezpieczeniach platformy ASP.Net znaleziono krytyczny błąd, który może zostać wykorzystany np. do przechwytywania danych wysyłanych pomiędzy przeglądarkami a stronami WWW, a także do wykradania haseł i loginów z serwisów internetowych.

Koncern z Redmond opublikował komunikat o luce w piątek - czyli tego samego dnia, w którym dwaj specjaliści ds. bezpieczeństwa przedstawili problem na konferencji Ekoparty Security w Buenos Aires.

Z informacji przedstawionych przez Microsoft wynika, że błąd występuje we wszystkich wersjach ASP.Net (niezwykle popularnej platformy i zestawu narzędzi do tworzenia stron WWW). A to oznacza, że koncern będzie miał sporo łatania - musi bowiem przygotować poprawki dla wszystkich wersji Windows (od XP SP3 do Windows 7), a także dla kilku innych produktów wykorzystujących technologię ASP.Net (czyli m.in. IIS oraz SharePoint).

Podczas swojego wystąpienia na Ekoparty, Juliano Rizzo i Thai Duong zaprezentowali, jak luka w szyfrowaniu ASP.Net może zostać wykorzystana do odszyfrowania i przechwycenia danych przechowywanych na zdalnym serwerze. Specjaliści twierdzą, że błąd ten pozwala też na nieautoryzowane przejęcie kontroli nad serwerem (z uprawnieniami administratora). Z ich analiz wynika, że obecnie ok. 25% wszystkich stron WWW wykorzystuje ASP.Net.

Micosoft już zapowiedział, że przygotuje odpowiednie poprawki, ale na razie nie wiadomo, kiedy zostaną one udostępnione. Do tego czasu koncern zaleca użytkownikom, by skorzystali z tymczasowych metod zabezpieczenia aplikacji.

Dodajmy, że Rizzo i Duong przygotowali narzędzie o nazwie POET (Padding Oracle Exploit Tool), które umożliwia sprawdzenie, czy dana aplikacja ASP.Net jest podatna na opisany przez nich atak. Więcej informacji na ten temat - w tym dokument opisujący problem - można znaleźć tutaj. Podobne narzędzie udostępnił też Microsoft, który na dodatek stworzył forum poświęcone nowej luce oraz metodom zabezpieczenia się przed nią.


Zobacz również