martes, 28 de septiembre de 2010

Microsoft publica un boletín de seguridad para ASP.NET fuera de ciclo

Microsoft acaba de publicar el boletín de seguridad MS10-070 de carácter importante, en el que se soluciona una vulnerabilidad en ASP.NET. Aunque la vulnerabilidad no se considera crítica Microsoft publica esta actualización con carácter de urgencia debido a la importancia de la plataforma .net y la importancia del problema al permitir obtener información sensible del servidor.

Microsoft no suele publicar boletines fuera de ciclo para vulnerabilidades que no se consideren críticas, esto es, que permitan el compromiso de sistemas remotos y que además estén siendo aprovechadas por atacantes. Pero en esta ocasión, el problema afecta a millones de sitios web que hacen uso de las funciones de cifrado AES incluidas en ASP.NET para proteger la integridad de datos, como las cookies, durante las sesiones de usuario. Además estos datos de sesiones se usan en aplicaciones web de gran importancia como banca online, venta on-line y en general cualquier sitio web que precise de un login para identificarse. Todo esto ha convertido una vulnerabilidad de revelación de información (importante según la clasificación de Microsoft) en un problema especialmente preocupante.

La vulnerabilidad afecta a Microsoft. NET Framework v1.0 SP3, v1.1 SP1, v2.0 SP2, v3.5, v3.5 SP1, v3.5.1 y v4.0, para ASP.NET en Microsoft Internet Information Services (IIS). El problema reside en un error al mostrar errores en ASP.NET. Un atacante remoto podría obtener información sensible (datos cifrados por el servidor) a través de múltiples peticiones que causen errores.

Entre los posibles efectos se cuentan el descifrar y modificar el View State (__VIEWSTATE), los datos del formulario y, posiblemente cookies o leer archivos de la aplicación, a través de un ataque "padding oracle attack". El objeto ViewState se cifra y envía al cliente en una variable oculta, pero un atacante podría acceder a su contenido descifrado.

De esta forma, muchos de los efectos podrán depender de la propia aplicación ASP.Net. Por ejemplo, si la aplicación almacena información sensible, como contraseñas o cadenas de conexión a bases de datos, en el objeto ViewState estos datos podrían verse comprometidos.

Como es habitual, la actualización publicada puede descargarse a través de Windows Update o consultando el boletín de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de la vulnerabilidad se recomienda la actualización de los sistemas afectados con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS10-070 - Important
Vulnerability in ASP.NET Could Allow Information Disclosure (2418042)
http://www.microsoft.com/technet/security/bulletin/MS10-070.mspx

Fear, uncertainty and the padding oracle exploit in ASP.NET
http://www.troyhunt.com/2010/09/fear-uncertainty-and-and-padding-oracle.html

Understanding the ASP.NET Vulnerability
http://blogs.technet.com/b/srd/archive/2010/09/17/understanding-the-asp-net-vulnerability.aspx

Security researchers 'destroy' Microsoft ASP.NET security
http://www.theinquirer.net/inquirer/news/1732956/security-researchers-destroy-microsoft-aspnet-security

No hay comentarios:

Publicar un comentario en la entrada