Microsoft: Активно эксплуатируется уязвимость в .Net

Корпорация Microsoft накануне сообщила об обнаружении случаев злонамеренной эксплуатации недавно обнаруженной уязвимости в приложениях для веб-девелопмента Microsoft.

Данная уязвимость позволяет удаленному пользователю получить доступ к важной информации и изменить некоторые данные на системе. Уязвимость существует из-за ошибки в ASP.NET при обработке криптографического смещения, когда используется шифрование в режиме CBC. Удаленный пользователь может расшифровать данные с помощью возвращаемых кодов ошибок уязвимого сервера. Последующая эксплуатация уязвимости позволяет злоумышленнику взаимодействовать с расшифрованными данными и, скачивать произвольные файлы с системы, работающей на ASP.Net 3.5 SP1 и выше.

В прошлую пятницу Microsoft выпустила временное исправление для данного бага связанного с атакой на криптосистему. Фикс закрывал для атак возможность расшифровки защищенных файлов путем отсылки на сервер-жертву больших запросов со специально сконструированными данными.

Теперь в корпорации говорят, что их специалисты обнаружили атаки на ASP.Net в интернете на реальных машинах, хотя их распространение пока ограниченно.

Также в корпорации предупредили об опасности остальных веб-приложений, использующих стандартные методы защиты ASP.Net для хранения паролей, стандартных коннекторов для баз данных или прочих сведений в объекте ViewState. Так как эти объекты доступны извне, приложения Microsoft автоматически шифруют их содержимое.

За счет бомбардировки сервера большим объемом поврежденных данных и последующего анализа данных об ошибках, атакующий может вычислить ключ для шифрования. Временное исправление  переконфигурирует приложения таким образом, чтобы все приложения выдавали стандартный вывод об ошибке, хотя хакер и будет отсылать различные типы ошибочных сообщений.