Vulnerabilidad 0 jours en ASP.NET

Qui sait si la partie se poursuit en Argentine, mais formellement EkoParty pris fin la nuit dernière, au plus tard le pensait auparavant, au Centre Culturel Konex. L'événement en conférence sur la sécurité informatique vedette intéressant nombreuses, mais depuis le début on savait qu'il y aurait une étoile: Thai Duong, Juliano Rizzo et présenter une vulnérabilité 0 jours à ASP.NET .

ASP.NET est l'environnement créé par Microsoft pour concurrencer Java et est utilisé par environ 25% des sites Internet. En outre, une vulnérabilité est considérée comme « 0 jours "quand il est, à ce jour annoncé, totalement inconnu: c'est, ni Microsoft ni aucune autre personne dans le monde était au courant de cette vulnérabilité, il n'y a donc aucun moyen d'éviter ou de l'arrêter.

La conférence était très curieux, comme ils ont commencé à expliquer les questions plus techniques sur la cryptographie qui rendent possible l'attaque. Les concepts ont été intéressante, mais il y avait de la tension dans l'air: tout le monde voulait savoir, voir la vulnérabilité. Quoi qu'il en soit, avant la publication, a pris quelques minutes pour répondre à certaines des questions de sécurité les plus importantes dans ASP.NET. En principe, ils ont noté que viole la règle d'or »du développement web: ne pas stocker des données critiques dans le répertoire racine Web.config, le fichier de configuration les plus importantes dans le cadre, qui est en plein le répertoire "root" et contient des informations et mots de passe.

En outre, ASP.NET API de cryptographie ne pas authentifier les messages par défaut et il n'existe aucun moyen simple pour générer les clés: en ligne sont parfois créées, ne changent pas au cours de la vie d'une application et sont utilisés pour tout. En ce qui concerne la vulnérabilité est exploitée par Oracle attaque de rembourrage et permet à l'attaquant (le cas échéant) ainsi, faire ce qu'ils veulent.

Enfin Juliano Rizzo et Thai Duong dans une démo a montré comment l'attaque, menée par le poète, un herramientra créé par eux, et que le code n'était pas encore publié, a sauté dans le public à la fin de la conférence avec trois disques stylo chargé outil . Pour ces moments, je ne crois pas beaucoup de gens ont déjà en mains votre poète (ou combien font l'expérience de leur propre vulnérabilité).

Absolument tous les sites développés en ASP.NET sont des victimes potentielles et il n'ya rien qu'ils peuvent faire pour empêcher le moment. Microsoft , de son côté, a émis un Avis de sécurité reflète la vulnérabilité, la réduction dont la gravité et veille à ce que objet d'une enquête, après quoi nous efforcerons d'aider leurs clients. Microsoft affirme que la vulnérabilité «seulement» vous permet de filtrer l'information, quand elle dépend des applications installées sur le serveur, ce qui rend possible d'engager l'ensemble du système. Selon Microsoft n'a pas encore signalé aucune attaque, mais même si elle ne devrait vraiment pas être prévu.

0 vulnérabilité jour en ASP.NET écrit en ALT1040 Septembre 18 2010 en federico-erostarbe
Envoyer à Twitter | Partager sur Facebook