Уязвимость в методе, которым веб-приложения обрабатывают зашифрованные куки
сессий, подвергает банковские аккаунты значительному риску.
Ошибка в Microsoft ASP.Net связана с алгоритмом шифрования AES и обработкой
ошибок в нем. "Если зашифрованный текст изменяется, приложение генерирует
ошибку, которая дает нападающему некоторую информацию о том как работает в
приложении процесс дешифровки", - пишет один из авторов исследования. "Чем
больше ошибок - тем больше данных. Приемлемое их количество может дать хакеру
достаточно сведений для реального подбора ключа, используемого при шифровании".
Это может позволить взломщику расшифровать перехваченные куки, подделать
аутентификационные ключи и выполнить ряд других атак.
Исследователи Таи Дуонг и Джулиано Риццо разработали
эксплоит, который реализует атаку
основываясь на предыдущих работах по взлому других фреймворков.
"Самое важное в новой уязвимости то, что она касается любого ASP.NET
приложения", - объясняет Риццо. "Вкратце - вы можете расшифровать куки,
просмотреть статус, сформировать тикет авторизации, пароль пользователя или
подменить данные, в общем испортить все, что шифруется при помощи API. Влияние
этой уязвимости зависит от приложения, установленного на сервере, и колеблется
от раскрытия информации до полной компрометации системы".
Он так же поясняет, что данная атака позволяет "среднеобразованному" хакеру
взломать сайт за час или даже быстрее.
"Первая часть атаки требует нескольких тысяч запросов, но как только она
удастся и атакующий получит секретный ключ, она станет полностью незаметна. А
криптографические знания, требуемые для ее осуществления, крайне незначительны".
