Microsoft выпустила временный пакет исправлений для криптографической уязвимости в программном средстве, широко используемом в веб-программировании, которая позволяла хакерам прочитать файлы паролей и другие конфиденциальные данные.

Опубликованный в эту пятницу метод описывает то, что известно как "e;криптографический оракул"e; ("e;cryptographic padding oracle"e;) в ASP.Net – набор приложений для веб-программирования, которые работают поверх IIS. Уязвимость, продемонстрированная на прошлой неделе на конференции Ekoparty в Аргентине, позволяет посторонним читать или вмешиваться в конфиденциальные данные, которые ранее считались зашифрованными.

Выражаясь языком криптографии, оракул – это то, что неумышленно обнаруживает едва уловимые нити зашифрованного содержания. Уязвимость в ASP.Net может быть использована при отправке серверу огромно...
Microsoft выпустила временный пакет исправлений для криптографической уязвимости в программном средстве, широко используемом в веб-программировании, которая позволяла хакерам прочитать файлы паролей и другие конфиденциальные данные.

Опубликованный в эту пятницу метод описывает то, что известно как "e;криптографический оракул"e; ("e;cryptographic padding oracle"e;) в ASP.Net – набор приложений для веб-программирования, которые работают поверх IIS. Уязвимость, продемонстрированная на прошлой неделе на конференции Ekoparty в Аргентине, позволяет посторонним читать или вмешиваться в конфиденциальные данные, которые ранее считались зашифрованными.

Выражаясь языком криптографии, оракул – это то, что неумышленно обнаруживает едва уловимые нити зашифрованного содержания. Уязвимость в ASP.Net может быть использована при отправке серверу огромного количества запросов и затем анализа полученных сообщений об ошибках различий. Снова и снова повторяя этот процесс, атакующий может прочитать данные View State, который используется для отслеживания изменений в веб-формах. Страница View State, которая может быть использована для хранения паролей, подключения к базам данных и другой конфиденциальной информации, считалась недоступной для чтения.

Используя уязвимость в ASP.Net, у хакеров появилась возможность раскрыть информацию о контейнере, используемом для шифрования данных, и в итоге прочитать или вмешаться в зашифрованные данные, находящиеся на сервере с веб-приложением.

Microsoft в пятницу признала существование уязвимости и сообщил, что команда по безопасности работает над патчем, который бы устранил эту дыру.

А пока, пользователи ASP.Net могут использовать скрипт, который будет выявлять, степень уязвимости их систем. Системы, получившие положительный результат после прохождения теста, должны быть переконфигурированы таким образом, чтобы все сообщения об ошибках привязывались к единой странице ошибок, что помешает атакующему прослеживать отличия между различными типами ошибок.

Исследователи Тай Дуонг и Джулиано Риццо на прошлой неделе продемонстрировали средство типа "e;point-and-click"e;, называемое POET, краткое от "e;Padding Oracle Exploitation Tool"e;, которое было модифицировано для того, чтобы расшифровывать куки, просматривать режимы, тикеты форм идентификации и другую конфиденциальную информацию, зашифрованную при помощи ASP.Net. На видео ниже можно посмотреть демонстрацию атаки.