Przestępcy atakują przez lukę w ASP.Net

Microsoft poinformował, że odnotowano już pierwsze przypadki wykorzystywania nowoodkrytej luki w ASP.Net do atakowania internautów. W związku z tym firma zaleca autorom stron i aplikacji webowych, by jak najszybciej skorzystali z rekomendowanego przez MS sposobu tymczasowego zabezpieczenia się przed atakiem.

O nowej luce pisaliśmy na początku tygodnia - z pierwszych analiz wynika, że błąd występuje we wszystkich wersjach ASP.Net (niezwykle popularnej platformy i zestawu narzędzi do tworzenia stron WWW) i że może zostać wykorzystany do przechwytywania danych wysyłanych pomiędzy przeglądarkami a stronami WWW, a także do wykradania haseł i loginów z serwisów internetowych.

Microsoft oficjalnie poinformował o problemie we wtorek - przedstawiciele firmy mówili wtedy, że jeszcze nie odnotowano przypadków wykorzystywania tej luki do atakowania użytkowników. Teraz sytuacja się zmieniła - koncern przyznał, że pierwsze ataki już nastąpiły (aczkolwiek ich liczba jest niewielka). Przestępcy używają luki do wykradania danych przesyłanych pomiędzy przeglądarkami a serwisami WWW.

Co ciekawe, Symantec nie potwierdza tych doniesień - przedstawiciele firmy mówią, że ich globalny system monitorowania zagrożeń w Internecie na razie nie odnotował żadnych prób atakowania użytkowników czy stron WWW przez lukę w ASP.Net.

Microsoft zapowiedział już, że udostępni wkrótce poprawkę usuwającą błąd, ale na razie nie wiadomo dokładnie, kiedy to nastąpi. "Patch będzie dystrybuowany za pośrednictwem mechanizmu Windows Update, więc z pewnością trafi do wszystkich użytkowników" - mówi Scott Guthrie, szef zespołu MS odpowiedzialnego za ASP.Net.

Przypomnijmy, że kolejny pakiet poprawek Microsoftu zostanie udostępniony 12 października (czyli w 2 wtorek miesiąca). Teoretycznie, to jest najbardziej prawdopodobny termin publikacji uaktualnienia - niewykluczone jednak, że koncern złamie swój sztywny cykl aktualizacji i opublikuje ją wcześniej. Takie przypadki się już zdarzały - szczególnie, gdy błąd był poważny i zainteresowali się nim cyberprzestępcy.

Warto wspomnieć, że Microsoft udostępnił webmasterom i autorom aplikacji webowych tymczasową metodę zabezpieczenia oprogramowania (poprzez odpowiednie zmodyfikowanie pliku "web.config"). Ale uaktualniania będzie wymagało znacznie więcej aplikacji - praktycznie wszystkie obsługiwane przez Microsoft wersje Windows, IIS, a także SharePoint Server 2007 i SharePoint 2010.

Koncern nie ukrywa, że sprawa jest poważna: "Na atak są podatne wszystkie aplikacje wykorzystujące ASP.Net. Dlatego bardzo ważne jest, by ich autorzy skorzystali z rekomendowanej metody zabezpieczenia systemu " - mówi Kevin Brown, inżynier z Microsoft Security Response Center.


Zobacz również