Microsoft varuje před kritickou chybou v ASP.Net, která ohrožuje web

Microsoft na svých stránkách upozorňuje na zranitelnost frameworku pro tvorbu webových aplikací ASP.Net, která se prý nachází ve všech jeho verzích. Vzhledem k ohromnému počtu stránek využívajících tento framework Microsoft chybu označil za kritickou, zároveň však přislíbil i rychlé vydání opravné aktualizace pro všechny verze podporovaných operačních systémů, tedy od Windows XP s třetím Service Packem a Server 2003 až po nejnovější Windows 7 a Server 2008 R2.

Jaké riziko nová zranitelnost v ASP.Net představuje, ukázali dva výzkumníci Juliano Rizzo a Thai Duong na nedávné bezpečnostní konferenci Ekoparty v argentinském Buenos Aires. Chybu je podle nich možné využít k dekódování zašifrovaných dat na vzdáleném serveru a také získání informací ze stránek nebo webových aplikací využívajících framework ASP.Net. Přímo na konferenci Rizzo a Duong demonstrovali, jak jsou díky zranitelnosti schopni získat přístup k webovým aplikacím a to s plnými administrátorskými právy, což znamená, že je ohrožen celý systém. Samotní výzkumníci odhadují, že framework ASP.Net používá až 25 % všech internetových stránek. Útok probíhá zjednodušeně asi tak, že hacker zahltí aplikaci šifrovaným textem a následně si zaznamenává obsah chybových hlášení. Opakováním tohoto procesu a analýzou chybových hlášek je pak schopen získat šifrovací klíč a vytvořit si tak cestu k zakódovanému obsahu.

Ačkoliv se Microsoft zavázal vydat opravný patch, přesný časový plán si pro tento úkol nestanovil. Zatím proto vyzval vývojáře aplikací a webových stránek k vyvinutí vlastní iniciativy. „Útokům je možno zabránit prostřednictvím elementu customErrors, který je součástí frameworku ASP.Net. Stačí jen v aplikacích nastavit, aby se zobrazovala stále stejná chybová stránka,“ doporučuje Scott Guthrie, který je součástí několika vývojových týmů Microsoftu a to včetně skupiny pro ASP.Net. Jde ovšem pouze o dočasné řešení problému demonstrovaného na Ekoparty. Povinné využití opravné aktualizace bude podle Guthrieho samozřejmostí. Podle něj mohou útočníci dešifrovat také data posílaná ze serveru na klientský počítač. I z tohoto důvodu zatím Microsoft uvolnil alespoň Visual Basic skript, který umožňuje rozpoznat zranitelné aplikace ASP.Net.