Mellékleteink: HUP | Gamekapocs
Keres
Felhőből visszaköltözéstől egészen egy banki malware evolúciójáig. Üzemeltetői és IT-biztonsági meetupokkal érkezünk!

ASP.NET sebezhetőségre figyelmeztet a Microsoft

Bodnár Ádám, 2010. szeptember 22. 10:16
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Egy ausztrál biztonsági konferencián pénteken mutatták be azt a módszert, amivel egy sebezhetőséget kihasználva titkosított adatok tölthetők le egy ASP.NET oldalról. A Microsoft megerősítette a hiba létezését, amelyet támadók már ki is használnak.

hirdetés

A hiba

Megerősítette az ASP.NET sebezhetőség létezését a Microsoft, egyúttal figyelmezteti is a felhasználókat, hogy már terjednek a hibát kihasználó támadások, ezért a javítás megérkezésééig mindenképp ajánlott áthidaló intézkedéseket hozni. A sebezhetőséget a múlt héten egy ausztrál biztonsági konferencián hozták nyilvánosságra, a hibát kihasználó példakóddal együtt, még azelőtt, hogy a Microsoftot értesítették volna. Az ASP.NET összes verzióját és az összes ASP.NET weboldalt érintő hibát kihasználva egy támadó dekódolhatja a kliens felé titkosítva küldött adatokat, fájlokat tölthet le, vagy akár jogosultság-elevációt érhet el.

Az ASP.NET titkosítómoduljában olyan hiba található, amely lehetővé teszi a támadók számára, hogy elegendően sok hibás lekérés küldésével visszafejtsék az állományok titkosítását. A szoftver a hibás lekérésekre mindig más hibaüzenettel válaszol, ezek elemzésével visszafejthető a titkosítás. A javítás érkezéséig a Microsoft azt javasolja a felhasználóknak, konfigurálják be úgy az ASP.NET-et, hogy bármilyen hiba esetén ugyanazt a hibaüzenet oldalt jelenítse meg. Ezt a Web.config állományban a customErrors funkció bekapcsolásával lehet elérni, illetve ugyanitt úgy kell beállítani a defaultRedirect attribútumot, hogy ne küldjön státuszkódokat. A védekezésről bővebben Scott Guthrie ASP.NET-guru blogjában lehet olvasni.

Jó tudni, hogy a sebezhetőség az ASP.NET-alapú SharePointot is érinti, ennek üzemeltetői a SharePoint blogban tájékozódhatnak az átmeneti védelemről. A sikeres támadáshoz több ezer, vagy inkább több tízezer lekérést kell indítani, amelyekre a szerver ugyanennyi 500-as vagy 404-es hibával válaszol - egy ilyen  próbálkozást akár már a tűzfalon vagy a behatolásérzékelő eszközzel is meg lehet fogni, amennyiben az rendelkezésre áll. Ugyanakkor  hogy nem csak az ASP.NET elleni támadások eredményezhetnek ilyen jelenséget.

Bár a Microsoft szerint egyelőre csak korlátozott számú támadást észleltek, mindenképp ajánlott az óvatosság, ugyanis a sérülékenységet kihasználva támadók hozzáférhetnek felhasználói adatokhoz vagy például a szerverek konfigurációk állományaihoz, amelyek birtokában további támadásokat indíthatnak. A legnagyobb kockázatot azok az ASP.NET alkalmazások jelentik, amelyek érzékeny adatokat, például felhasználói neveket és jelszavakat vagy adatbázis-kapcsolati stringeket tárolnak a ViewState objektumokban - mivel ezeket kívülről is el lehet érni, titkosítással védettek, de a most napvilágra került sebezhetőséget kihasználva ez a védelem megkerülhető.

Soron kívüli patch jöhet

A redmondi szoftvercég már dolgozik a javításon, amelyet a Windows Update szolgáltatáson keresztül fog terjeszteni - mivel elég súlyos és sokakat érintő problémáról van szó, nem kizárt hogy még az októberi patch kedd előtt, soron kívül megérkezik a javítás. A sebezhetőségről és a védekezésről további információ Scott Guthrie tegnapi blogbejegyzésében található. A hibáról magyarul bővebben a TechNet Klub oldalán lehet olvasni.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
4-4 klassz téma a HWSW júniusi üzemeltetői és IT-biztonsági meetupjain. Nézz meg a programot!