Microsoft xác nhận và cảnh báo lỗi nguy hiểm từ ASP.NET

Microsoft vừa xác nhận và cảnh báo về một lỗi có mức độ nguy hiểm rất cao trong ASP.NET đe dọa hàng loạt website sử dụng nền tảng này.

Ảnh minh họa: Internet

Lỗi nằm trong tiến trình được sử dụng bởi các ứng dụng ASP.NET để mã hóa cookie và các thành phần thông tin khác. Lỗi này được hai chuyên gia bảo mật Dương Ngọc Thái và Juliano Rizzo công bố.

Theo Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) thì lỗi nguy hiểm trên dẫn tới việc kẻ tấn công có thể thăm dò để tìm ra khóa giải mã trong một thời gian ngắn. Cụ thể là kẻ tấn công khai thác vào lỗ hổng này có thể tìm ra khóa giải mã để đọc nội dung những thông tin đã được mã hóa. Từ đó, kẻ xấu có thể thực hiện các thao tác tấn công leo thang để chiếm quyền điều khiển hệ thống.

Microsoft xác nhận lỗi này ảnh hưởng đến tất cả các phiên bản của ASP.NET. Theo đó, nếu lỗi được tin tặc triển khai khai thác thì khoảng 25% website đang sử dụng ASP.NET trên toàn cầu sẽ bị đe dọa.

"Đó là chưa kể một số lượng rất lớn các ứng dụng nội bộ của các doanh nghiệp. Ở VN, theo quan sát của tôi, mức độ ảnh hưởng còn nghiêm trọng hơn. Rất nhiều ngân hàng và tổ chức tài chính lớn sử dụng ASP.NET để phát triển các website quan trọng như Internet Banking hay giao dịch chứng khoán. Khai thác lỗ hổng này, kẻ tấn công có thể “chôm” tài khoản của khách hàng hoặc thậm chí xâm nhập vào máy chủ của các tổ chức này", chuyên gia bảo mật Dương Ngọc Thái nhận định.

Hiện chưa có bản vá chính thức từ Microsoft. Hãng này sẽ phải phát hành bản vá cho từng phiên bản của hệ điều hành Windows, từ XP SP3 cho đến Windows Server 2003, Windows 7 và Server 2008 R2 cũng như máy chủ web IIS và SharePoint.

Nhóm nghiên cứu bảo mật của Microsoft đã cung cấp thông tin cách xử lý tạm thời và một gói mã để giúp những quản trị viên kiểm tra các lỗi cấu hình cho những ứng dụng ASP.NET. Bạn đọc quan tâm có thể tham khảo tại đây hoặc từ website ASP.NET.

Nền tảng ASP.NET sử dụng chế độ mã hóa dữ liệu Encryption Standard (AES) trong Cipher Block Chaining (CBC) nhưng chế độ này lại không thể chống lại kiểu tấn công có tên gọi Padding Oracle Attacks PDF vốn được hai chuyên gia bảo mật Dương Ngọc Thái và Juliano Rizzo khám phá. Theo đó, những dữ liệu được mã hóa như cookie có thể bị giải mã mà không cần khóa.

Ngọc Thái và Juliano Rizzo cũng đã phát hành công cụ khai thác POET (Padding Oracle Exploit Tool) vào tháng 6-2010. (Xem video clip giới thiệu về POET tại đây)

Thứ Ba, 21/09/2010 15:32
51 👨 367
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp