Microsoft выпустила временный пакет исправлений от утечки информации в ASP.Net

28.09.2010

Вернуться к списку новостей

Опубликованный в эту пятницу метод описывает то, что известно как «криптографический оракул» («cryptographic padding oracle») в ASP.Net – набор приложений для веб-программирования, которые работают поверх IIS. Уязвимость, продемонстрированная на прошлой неделе на конференции Ekoparty в Аргентине, позволяет посторонним читать или вмешиваться в конфиденциальные данные, которые ранее считались зашифрованными.

Выражаясь языком криптографии, оракул – это то, что неумышленно обнаруживает едва уловимые нити зашифрованного содержания. Уязвимость в ASP.Net может быть использована при отправке серверу огромного количества запросов и затем анализа полученных сообщений об ошибках различий. Снова и снова повторяя этот процесс, атакующий может прочитать данные View State, который используется для отслеживания изменений в веб-формах. Страница View State, которая может быть использована для хранения паролей, подключения к базам данных и другой конфиденциальной информации, считалась недоступной для чтения.

Используя уязвимость в ASP.Net, у хакеров появилась возможность раскрыть информацию о контейнере, используемом для шифрования данных, и в итоге прочитать или вмешаться в зашифрованные данные, находящиеся на сервере с веб-приложением.

Microsoft в пятницу признала существование уязвимости и сообщил, что команда по безопасности работает над патчем, который бы устранил эту дыру.

А пока, пользователи ASP.Net могут использовать скрипт, который будет выявлять, степень уязвимости их систем. Системы, получившие положительный результат после прохождения теста, должны быть переконфигурированы таким образом, чтобы все сообщения об ошибках привязывались к единой странице ошибок, что помешает атакующему прослеживать отличия между различными типами ошибок.

Исследователи Тай Дуонг и Джулиано Риццо на прошлой неделе продемонстрировали средство типа «point-and-click», называемое POET, краткое от «Padding Oracle Exploitation Tool», которое было модифицировано для того, чтобы расшифровывать куки, просматривать режимы, тикеты форм идентификации и другую конфиденциальную информацию, зашифрованную при помощи ASP.Net. На видео ниже можно посмотреть демонстрацию атаки.