Hirdetés
. Hirdetés

Fecsegő .NET résre figyelmeztet a Microsoft

|

A világháló weboldalainak 25 százalékát is érintheti a Windows ASP.NET sérülékenysége.

Hirdetés

A Buenos Aires városában tartott Ekoparty Biztonsági konferencián két kutató bemutatta, hogy miként lehet kijátszani az ASP.NET framework által generált hibaoldalakat, így teljes egészében hozzáférve a webszerveren tárolt adatokhoz. Juliano Rizzo és Thai Duong támadásukat "helykitöltő jóslatnak" nevezték el, mivel az érintett Windows komponens alapbeállításon a hibaüzeneteken keresztül folyamatosan tájékoztatja a speciálisan megszerkesztett kérésekkel zaklató támadót arról, hogy miként lehet a rendszer titkosítását megkerülni. Azaz ha a hacker elég kitartó, akkor a visszaérkező hibaüzenetek alapján eleget megtudhat arról, hogy a szerver miként titkosítja a tartalmait.

 

 



Amennyiben ez sikerül, akkor a támadó beleláthat a webszolgáltatások mögötti adattáblákba (így hozzáférhet a felhasználónevekhez és jelszavakhoz), valamint fájlokat is beolvashat a szerverről. Többek között például a web.config állományhoz is hozzáférhet. "Ezen módszerrel feloldhatjuk a például a websütik, az autentikációs fájlok és a felhasználói állományok titkosítását, illetve minden olyan fájlhoz hozzáférhetünk, amit a rendszer a Framework API-n keresztül titkosított. A sérülékenység a világháló összes weboldalának 25 százalékát érinti. A támadás súlyossága a telepített alkalmazásoktól függ, így az adatlopástól kezdve a rendszer teljes összeomlásáig bármi elképzelhető" - vélték a kutatók.

A rés veszélyességét jól jelzi, hogy a konferenciát követően a Microsoft is lépett, és felhívta a felhasználóinak a figyelmét az újonnan felfedezett sérülékenységre. Az általuk kiadott biztonsági közlemény alapján a hiba az összes érvényes terméktámogatással rendelkező .NET verziót érinti, így a Windows XP, a Vista, a Windows 7, a Windows Server 2003, valamint a Windows Server 2008 és 2008 R2 platformokon futó weboldalak gazdái nem lehetnek nyugodtak.

A sérülékenység meglehetősen veszélyes, ám szerencsére a Microsoft csak néhány aktív támadásról tud. Az MSRC blogjában ugyanakkor a redmondi szoftvercég azt javasolja a felhasználóknak, hogy a közzétett biztonsági közlemény alapján változtassák meg az ASP.NET által generált hibaoldalukat, hogy az semmiféle információt ne szolgáltasson ki a rendszerrel kapcsolatban.

 

Hirdetés
0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://www.computertrends.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.