Microsoft a avertizat in cursul zilei de vineri ca un bug critic in ASP.Net poate fi exploatat de hackeri pentru a controla sesiuni web criptate si pentru a fura nume si parole de utilizatori.
Vulnerabilitatea a devenit publica in aceeasi zi in care o serie de cercetatori au subliniat tehnicile de atac la conferinta de securitate Ekoparty din Buenos Aires. Aceasta exista in toate versiunile de ASP.Net , framework-ul Microsoft pe care sunt dezvoltate milioane de site-uri si aplicatii. Microsoft va trebui sa creeze un patch pentru fiecare verisune suportata de windows de la Windows XP SP3 la Server 2003 si Windows 7 respectiv Server 2008 R2, alaturi de o serie de alte produse, ce includ IIS si SharePoint.
La conferinta de care va vorbeam mai sus, Juliano Rizzo si Thai Duong au demonstrat cum aceasta gaura in securitatea criptarii ASP.Net poate fi exploatata pentru a decripta date si cookie-uri de pe un server remote, cat si accesa si copia fisiere de pe un site sau o aplicatie Web bazata pe acesta.
Acestia au declarat ca bug-ul le permite accesul la aplicatii Web cu dreputuri de administrator, putand accesa astfel date si informatii care pot duce la compromiterea intregului sistem. O estimare releva ca 25% din site-urile Web sunt realizate pe ASP.Net.
“(Puteti) preveni aceasta vulnerabilitate (activand) functia customError si configura in mod explicit aplicatiile pentru a returna de fiecare data aceeasi pagina de eroare indiferent de tipul acesteia”, declara Scott Guthrie, ce conduce o serie de echipe de dezvoltare ale Microsoft, inclusiv pe cea responsabila pentru ASP.Net. “Prin maparea tuturor paginilor de eroare catre una singura puteti identifica activitatea unui hacker prin diferentierea tipurilor de erori ce apar pe server.”
Acest mod de a evita problema protejeaza de atacurile evidentiate de Rizzo si Duong, dar nu rezolva problema reala. “Evident, vom lansa un patch pentru acest bug”, adauga Guthrie intr-un comentariu de pe blogul sau. “Pana atunci, fix-ul de mai sus anuleaza posibilitatile de atac”
Microsoft a publicat un script Visual Basic ce detecteaza aplicatiile vulnerabile ASP.Net si a realizat un forum de suport dedicat suportului pentru site-uri si dezvoltatori de aplicatii.
Citeste articolul pe: PC World Romania
Microsoft alerteaza utilizatorii: Web bug foarte periculos in ASP.Net
Microsoft a avertizat in cursul zilei de vineri ca un bug critic in ASP.Net poate fi exploatat de hackeri pentru a controla sesiuni web criptate si pentru a fura nume si parole de utilizatori.
Vulnerabilitatea a devenit publica in aceeasi zi in care o serie de cercetatori au subliniat tehnicile de atac la conferinta de securitate Ekoparty din Buenos Aires. Aceasta exista in toate versiunile de ASP.Net , framework-ul Microsoft pe care sunt dezvoltate milioane de site-uri si aplicatii. Microsoft va trebui sa creeze un patch pentru fiecare verisune suportata de windows de la Windows XP SP3 la Server 2003 si Windows 7 respectiv Server 2008 R2, alaturi de o serie de alte produse, ce includ IIS si SharePoint.
La conferinta de care va vorbeam mai sus, Juliano Rizzo si Thai Duong au demonstrat cum aceasta gaura in securitatea criptarii ASP.Net poate fi exploatata pentru a decripta date si cookie-uri de pe un server remote, cat si accesa si copia fisiere de pe un site sau o aplicatie Web bazata pe acesta.
Acestia au declarat ca bug-ul le permite accesul la aplicatii Web cu dreputuri de administrator, putand accesa astfel date si informatii care pot duce la compromiterea intregului sistem. O estimare releva ca 25% din site-urile Web sunt realizate pe ASP.Net.
“(Puteti) preveni aceasta vulnerabilitate (activand) functia customError si configura in mod explicit aplicatiile pentru a returna de fiecare data aceeasi pagina de eroare indiferent de tipul acesteia”, declara Scott Guthrie, ce conduce o serie de echipe de dezvoltare ale Microsoft, inclusiv pe cea responsabila pentru ASP.Net. “Prin maparea tuturor paginilor de eroare catre una singura puteti identifica activitatea unui hacker prin diferentierea tipurilor de erori ce apar pe server.”
Acest mod de a evita problema protejeaza de atacurile evidentiate de Rizzo si Duong, dar nu rezolva problema reala. “Evident, vom lansa un patch pentru acest bug”, adauga Guthrie intr-un comentariu de pe blogul sau. “Pana atunci, fix-ul de mai sus anuleaza posibilitatile de atac”
Microsoft a publicat un script Visual Basic ce detecteaza aplicatiile vulnerabile ASP.Net si a realizat un forum de suport dedicat suportului pentru site-uri si dezvoltatori de aplicatii.
