Microsoft выпустила временный пакет исправлений для криптографической
уязвимости в программном средстве, широко используемом в веб-программировании,
которая позволяла хакерам прочитать файлы паролей и другие конфиденциальные
данные.

Опубликованный в эту пятницу метод описывает то, что известно как
"криптографический оракул" ("cryptographic padding oracle") в ASP.Net – набор
приложений для веб-программирования, которые работают поверх IIS.
Уязвимость,
продемонстрированная на прошлой неделе
на конференции Ekoparty в Аргентине,
позволяет посторонним читать или вмешиваться в конфиденциальные данные, которые
ранее считались зашифрованными.

Выражаясь языком криптографии, оракул – это то, что неумышленно обнаруживает
едва уловимые нити зашифрованного содержания. Уязвимость в ASP.Net может быть
использована при отправке серверу огромного количества запросов и затем анализа
полученных сообщений об ошибках различий. Снова и снова повторяя этот процесс,
атакующий может прочитать данные View State, который используется для
отслеживания изменений в веб-формах. Страница View State, которая может быть
использована для хранения паролей, подключения к базам данных и другой
конфиденциальной информации, считалась недоступной для чтения.

Используя уязвимость в ASP.Net, у хакеров появилась возможность раскрыть
информацию о контейнере, используемом для шифрования данных, и в итоге прочитать
или вмешаться в зашифрованные данные, находящиеся на сервере с веб-приложением.

Microsoft в пятницу

признала существование уязвимости
и сообщил, что команда по безопасности
работает над патчем, который бы устранил эту дыру.

А пока, пользователи ASP.Net могут использовать скрипт, который будет
выявлять, степень уязвимости их систем. Системы, получившие положительный
результат после прохождения теста, должны быть переконфигурированы таким
образом, чтобы все сообщения об ошибках привязывались к единой странице ошибок,
что помешает атакующему прослеживать отличия между различными типами ошибок.

Исследователи Тай Дуонг и Джулиано Риццо на прошлой неделе продемонстрировали
средство типа "point-and-click", называемое POET, краткое от "Padding Oracle
Exploitation Tool", которое было модифицировано для того, чтобы расшифровывать
куки, просматривать режимы, тикеты форм идентификации и другую конфиденциальную
информацию, зашифрованную при помощи ASP.Net. На видео ниже можно посмотреть
демонстрацию атаки.



Оставить мнение