Útočníci zneužívají zero day chybu v ASP.Net

25. 9. 2010

Sdílet

Microsoft varuje před útoky proti kritické zero day zranitelnosti ve své technologii ASP.Net. Přestože záplata není zatím k dispozici, administrátoři mohou celý problém obejít.

 

Chybu lze zneužít pro přístup k zašifrovaným datům na vzdáleném serveru. Zneužití probíhá zahlcením aplikace daty, přičemž vlastní chyba je ve způsobu, jimž framework ASP.Net generuje chybová hlášení. Jejich analýzou se pak podvodník může dostat k šifrovacímu klíči. Potenciálně jsou tímto útokem zranitelné například zašifrované databáze hesel a dalších přihlašovacích údajů k webovým serverům používajícím technologii ASP (bez ohledu na serverový operační systém, včetně Windows 7, SharePoint Serveru 2007 a 2010). Hacker dokáže získat k serveru plná administrátorská oprávnění. Podobně může být odposlouchávatelná zašifrovaná komunikace mezi klientem a serverem; útočník se může dostat třeba k souborům cookies.

Microsoft uvedl, že již zaznamenal útoky zneužívající tuto chybu. Naopak Symantec na základě údajů ze svých senzorů údajně žádné podobné informace k dispozici nemá. Není zatím známo, kdy bude k dispozici samotná záplata, Microsoft ji ovšem přislíbil distribuovat prostřednictvím svých systémů pro automatické aktualizace (což u této platformy není pravidlem), takže by se měla dostat ke všem uživatelům.

Microsoft zatím nabízí skript, který administrátorům umožní zkontrolovat, zda aplikace je zranitelná. Pokud ano, mohou upravit způsob generování chybových zpráv (úpravy souborů web.config, error.html a nastavení elementu customErrors).

Další informace + FAQ na webu ASP.NET

Postup, jak se zranitelnosti vyhnout: Microsoft Security Advisory

bitcoin školení listopad 24