ASP.NET sebezhetőségre figyelmeztet a Microsoft
Egy ausztrál biztonsági konferencián pénteken mutatták be azt a módszert, amivel egy sebezhetőséget kihasználva titkosított adatok tölthetők le egy ASP.NET oldalról. A Microsoft megerősítette a hiba létezését, amelyet támadók már ki is használnak.
A hiba
Megerősítette az ASP.NET sebezhetőség létezését a Microsoft, egyúttal figyelmezteti is a felhasználókat, hogy már terjednek a hibát kihasználó támadások, ezért a javítás megérkezésééig mindenképp ajánlott áthidaló intézkedéseket hozni. A sebezhetőséget a múlt héten egy ausztrál biztonsági konferencián hozták nyilvánosságra, a hibát kihasználó példakóddal együtt, még azelőtt, hogy a Microsoftot értesítették volna. Az ASP.NET összes verzióját és az összes ASP.NET weboldalt érintő hibát kihasználva egy támadó dekódolhatja a kliens felé titkosítva küldött adatokat, fájlokat tölthet le, vagy akár jogosultság-elevációt érhet el.
Az ASP.NET titkosítómoduljában olyan hiba található, amely lehetővé teszi a támadók számára, hogy elegendően sok hibás lekérés küldésével visszafejtsék az állományok titkosítását. A szoftver a hibás lekérésekre mindig más hibaüzenettel válaszol, ezek elemzésével visszafejthető a titkosítás. A javítás érkezéséig a Microsoft azt javasolja a felhasználóknak, konfigurálják be úgy az ASP.NET-et, hogy bármilyen hiba esetén ugyanazt a hibaüzenet oldalt jelenítse meg. Ezt a Web.config állományban a customErrors funkció bekapcsolásával lehet elérni, illetve ugyanitt úgy kell beállítani a defaultRedirect attribútumot, hogy ne küldjön státuszkódokat. A védekezésről bővebben Scott Guthrie ASP.NET-guru blogjában lehet olvasni.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
Jó tudni, hogy a sebezhetőség az ASP.NET-alapú SharePointot is érinti, ennek üzemeltetői a SharePoint blogban tájékozódhatnak az átmeneti védelemről. A sikeres támadáshoz több ezer, vagy inkább több tízezer lekérést kell indítani, amelyekre a szerver ugyanennyi 500-as vagy 404-es hibával válaszol - egy ilyen próbálkozást akár már a tűzfalon vagy a behatolásérzékelő eszközzel is meg lehet fogni, amennyiben az rendelkezésre áll. Ugyanakkor hogy nem csak az ASP.NET elleni támadások eredményezhetnek ilyen jelenséget.
Bár a Microsoft szerint egyelőre csak korlátozott számú támadást észleltek, mindenképp ajánlott az óvatosság, ugyanis a sérülékenységet kihasználva támadók hozzáférhetnek felhasználói adatokhoz vagy például a szerverek konfigurációk állományaihoz, amelyek birtokában további támadásokat indíthatnak. A legnagyobb kockázatot azok az ASP.NET alkalmazások jelentik, amelyek érzékeny adatokat, például felhasználói neveket és jelszavakat vagy adatbázis-kapcsolati stringeket tárolnak a ViewState objektumokban - mivel ezeket kívülről is el lehet érni, titkosítással védettek, de a most napvilágra került sebezhetőséget kihasználva ez a védelem megkerülhető.
Soron kívüli patch jöhet
A redmondi szoftvercég már dolgozik a javításon, amelyet a Windows Update szolgáltatáson keresztül fog terjeszteni - mivel elég súlyos és sokakat érintő problémáról van szó, nem kizárt hogy még az októberi patch kedd előtt, soron kívül megérkezik a javítás. A sebezhetőségről és a védekezésről további információ Scott Guthrie tegnapi blogbejegyzésében található. A hibáról magyarul bővebben a TechNet Klub oldalán lehet olvasni.