Microsoft está investigando una vulnerabilidad sobre la que han sido
informados que afectaría a la plataforma ASP.NET. La vulnerabilidad
en la tecnología ASP.NET de Microsoft puede ser utilizada por un
atacante para acceder a áreas protegidas mediante contraseña alterando
la URL.
Este problema es específico de ASP.NET, no afecta a ASP y podría
deberse a que dicha plataforma no realiza correctamente el proceso de
canonización de algunas URLs. El problema afecta a los sitios web que
usen cualquier versión de esta plataforma sobre Windows 2000, 2000
Server, XP Professional y 2003 Server.
Aunque la información proporcionada por el momento es más bien escasa,
cabe señalar que no es habitual que Microsoft adelante información
sobre vulnerabilidades, lo que levanta las sospechas sobre la gravedad
del problema. Todo indica que la vulnerabilidad debe ser fácil de
explotar, en la que bastaría modificar o añadir un carácter en la URL
para permitir el acceso a contenidos sin autorización.
El artículo del Knowledge Base 887459 (“Programmatically Checking for
Canonicalization Issues with ASP.NET”) describe formas de añadir
mecanismos adicionales de protección contra problemas de este tipo,
por lo que se recomienda su lectura y aplicación en los programas que
pudieran verse afectados. La dirección de dicho artículo es la
siguiente: http://support.microsoft.com/?kbid=887459
Aunque todos los detalles del problema aun están por desvelar,
Microsoft ha adelantado información de seguridad en su web, además de
publicar un módulo HTTP de ASP.NET que los administradores de sitios
web pueden aplicar a su servidor web. Este módulo protegerá las
aplicaciones ASP.NET contra este nuevo problema.
La dirección para descargar este módulo (de 295 KB) es la siguiente:
http://download.microsoft.com/download/4/6/1/461433d5-cbac-4721-85cb-c5a514fd0049/VPModule.msi
antonior@hispasec.com
Más información:
What You Should Know About a Reported Vulnerability in Microsoft
ASP.NET
http://www.microsoft.com/security/incident/aspnet.mspx
Deja un comentario