Хакеры начали использовать на практике недавно обнаруженную
уязвимость в программных
средствах Microsoft, которая раскрывает файлы паролей и другую
конфиденциальную информацию, что позволяет перехватывать зашифрованные данные.
Уязвимость в методе, которым приложения ASP.Net шифруют данные, была
обнаружена на прошлой неделе на конференции Ekoparty в Аргентине.
Microsoft в пятницу выпустила
временный пакет исправлений против "криптографических атак", позволяющих
атакующим расшифровывать защищенные файлы при помощи отправки уязвимым системам
огромного количества запросов.
Сейчас специалисты по безопасности Microsoft говорят, что на практике они
видят "ограниченные атаки", и предупреждают, что с их помощью можно вмешиваться
в наиболее конфиденциальные файлы конфигурации.
"Существует комбинация атак, показанная публично и продемонстрировавшая
утечку содержимого файла web.config, включая любую секретную, нешифрованную
информацию в файле", -
пишет Скотт Гатри. "Вам следует использовать временное решение, чтобы
заблокировать атаки padding oracle на начальной стадии". (Далее он пишет, что
секретные данные в файлах web.config также должны быть зашифрованы).
Сотрудники Microsoft также предостерегают о приложениях ASP.Net, которые
хранят пароли, строки соединения с базой данных или любую другую информацию в
объектах ViewState. Из-за того, что эти объекты доступными извне, приложения
Microsoft автоматически шифруют их содержимое.
Но атакуя уязвимый сервер большим количеством искаженных данных, и затем
тщательно анализируя полученные сообщения об ошибках, хакеры могут выявить ключ
шифрования файлов. Атака по сторонним каналам может быть использована для
преобразования практически любого файла по выбору атакующего.
Временный пакет исправлений выполняет переконфигурирование приложений таким
образом, что сообщения об ошибках привязываются к одной определенной странице
ошибок, что не позволит атакующему выявить разницу между различными типами
ошибок. Скрипт для выявления систем, находящегося под угрозой раскрытия важных
криптографических ключей, находится
здесь.
Таи Дуонг, один из исследователей, раскрывших уязвимость на прошлой неделе,
сказал здесь, что простого отключения сообщений об ошибках недостаточно для
предотвращения злоупотреблений, так как хакеры могут все равно измерить разницу
в количестве времени, затрачиваемого на возврат определенных ошибок.
Гатри из Microsoft сказал, что версии 3.5 SP1 или 4.0 платформы .Net, на
которой работают приложения, имеют защиту для предотвращения от подобного
анализа времени. Они содержат опцию в свойствах customErrors, которая вводит
случайную задержку на странице ошибок. Он рекомендует включить ее и
сконфигурировать приложения на возврат однотипных ошибок, независимо от реальных
ошибок, с которыми столкнулся сервер.
Microsoft не сообщила, когда планирует выпустить полноценный пакет
исправлений. Следующее "обновление по вторникам" назначено на 12 октября.
