| Microsoft выпустила временный пакет исправлений для криптографической уязвимости в программном средстве, широко используемом в веб-программировании, которая позволяла хакерам прочитать файлы паролей и другие конфиденциальные данные. Опубликованный в эту пятницу метод описывает то, что известно как "криптографический оракул" ("cryptographic padding oracle") в ASP.Net – набор приложений для веб-программирования, которые работают поверх IIS. Уязвимость, продемонстрированная на прошлой неделе на конференции Ekoparty в Аргентине, позволяет посторонним читать или вмешиваться в конфиденциальные данные, которые ранее считались зашифрованными. Выражаясь языком криптографии, оракул – это то, что неумышленно обнаруживает едва уловимые нити зашифрованного содержания. Уязвимость в ASP.Net может быть использована при отправке серверу огромного количества запросов и затем анализа полученных сообщений об ошибках различий. Снова и снова повторяя этот процесс, атакующий может прочитать данные View State, который используется для отслеживания изменений в веб-формах. Страница View State, которая может быть использована для хранения паролей, подключения к базам данных и другой конфиденциальной информации, считалась недоступной для чтения. Используя уязвимость в ASP.Net, у хакеров появилась возможность раскрыть информацию о контейнере, используемом для шифрования данных, и в итоге прочитать или вмешаться в зашифрованные данные, находящиеся на сервере с веб-приложением. Microsoft в пятницу признала существование уязвимости и сообщил, что команда по безопасности работает над патчем, который бы устранил эту дыру. А пока, пользователи ASP.Net могут использовать скрипт, который будет выявлять, степень уязвимости их систем. Системы, получившие положительный результат после прохождения теста, должны быть переконфигурированы таким образом, чтобы все сообщения об ошибках привязывались к единой странице ошибок, что помешает атакующему прослеживать отличия между различными типами ошибок. Исследователи Тай Дуонг и Джулиано Риццо на прошлой неделе продемонстрировали средство типа "point-and-click", называемое POET, краткое от "Padding Oracle Exploitation Tool", которое было модифицировано для того, чтобы расшифровывать куки, просматривать режимы, тикеты форм идентификации и другую конфиденциальную информацию, зашифрованную при помощи ASP.Net. На видео ниже можно посмотреть демонстрацию атаки.
|
