Microsoft advarer mot ASP.Net-hull

Microsoft advarer mot ASP.Net-hull

Et sikkerhetshull i alle .Net-versjoner gjør en av fire nettsider sårbare.

En kritisk sårbarhet i ASP.Net kan bli utnyttet til å kapre krypterte nettsesjoner og stjele brukernavn og passord fra nettsider.

Microsoft offentliggjorde en sikkerhetsbulletin om sårbarheten fredag, samme dag som to sikkerhetsforskere demonstrerte angrepsteknikker mot sikkerhetshullet under konferansen Ekoparty i Buenos Aires, Argentina.

Ifølge Microsofts egen sikkerhetsbriefing finnes feilen i alle versjoner av ASP.Net, selskapets utviklingsrammeverk som er brukt til å bygge flere millioner nettsider og applikasjoner.

Alle Windows-versjoner rammet

Når feilen blir fikset, må Microsoft oppdatere alle støttede Windows-versjoner, fra XP Service Pack 3 og Server 2003, til Windows 7 og Server 2008 R2, i tillegg til en lang rekke andre produkter, blant annet webserveren IIS og samhandlingsverktøyet Sharepoint.

Sårbarheten i .Net-krypteringen kan misbrukes til å dekryptere sesjonscookies eller andre krypterte data på en ekstern server, eller få tilgang til og kopiere filer fra en nettside eller nettapplikasjon som benytter seg av rammeverket, skriver Computerworlds nyhetstjeneste.

Ifølge forskerne Juliano Rizzo og Thai Duong, som demonstrerte angrepet under Ekoparty, får de fulle administratorrettigheter på applikasjonene, som kan resultere i alt fra tilgang til informasjon, til ”fullstendig kompromittering av systemene”.

Sikkerhetsforskerne estimerer også at en av fire websider på nettet bruker ASP.Net.

Analyserer feilmeldinger

Svakheten kan utnyttes ved å mate kryptert tekst til en .Net-applikasjon og merke seg hvilke feilmeldinger man får i retur. Ved å gjenta denne prosessen mange nok ganger og analysere feilmeldingene, kan man gjette seg til krypteringsnøkkelen og dermed dekryptere hele teksten.

Før Microsoft er klare med en sikkerhetsoppdatering, anbefaler selskapet at utviklere går inn i koden sin selv.

- Man kan unngå sårbarheten ved å konfigurere applikasjonen til alltid å returnere den samme feilsiden – uavhengig av hvilken feil som oppsto på serveren, sier Scott Guthrie, ansvarlig for ASP.Net hos Microsoft på sin blogg.

Microsoft har også publisert et Visual Basic-script som avslører om en ASP.Net-applikasjon er rammet av sårbarheten. Et eget supportforum er også opprettet hvor utviklere av nettsider og applikasjon kan stille spørsmål til selskapet.