Aplicaciones web escritas en ASP.NET, podrían enfrentar una nueva ola de cripto-ataques, que ponen en peligro la seguridad de datos críticos.
Este fallo, escriba "Oráculos relleno en todas partes", por el investigador de seguridad Rizzo Juliano, permitir a los atacantes, para descifrar las cookies, y erradicar las estadísticas, las contraseñas y datos de usuario (por ejemplo, número de seguro social), en haciendo todo lo que se cifra con la API del marco.
Al colocar las manos sobre tales datos sensibles, un hacker malicioso podría utilizar el exploit, para simular un boleto y la identificación, para acceder a la aplicación con derechos de administrador.
Más técnicamente, Juliano dijo que el ataque explota la aplicación buggy del algoritmode cifrado simétrico: Advanced Encryption Standard (AES) es ampliamente utilizado en aplicaciones ASP.NET. El eslabón débil, es el manejo de errores por ASP.Net, cuando las cifras se modifican en las cookies.
Cuando cambia el texto codificado, la aplicación vulnerable genera un mensaje de error, que muestra información sobre el funcionamiento del proceso de descifrado.
Por lo tanto significa más errores más información. Los mensajes para analizar varios de errores, puede proporcionar al atacante información suficiente para adivinar la clave de cifrado.
ASP.Net, no es la única plataforma de afectados por este ataque oráculo de relleno, un defecto conocido desde el año 2002 .
Rizzo tailandesa Duong, y su colega fueron capaces de mostrar la debilidad misma de JavaServer Faces, Ruby on Rails y ESAPI OWASP.
Sin embargo, nuestros científicos, como reconocen ellos mismos, optaron por hacer ruido alrededor de la plataforma de Microsoft, para sacar la máxima atención a este problema, Redmond, es generalmente más propensos a la crítica de otros marcos abiertos de origen, especialmente de seguridad.
Asimismo, para educar, Rizzo y Duong, han diseñado y lanzado una herramienta gratuita llamada POETA, (para relleno de Oracle Exploit Tool) puede detectar esta vulnerabilidad ... y se aprovechan de ella.
En un Libro Blanco publicado el pasado mes de mayo, los dos investigadores tenían la esperanza de educar a todos los desarrolladores con el peligro de estos logros, y animarles a tomarlas tan en serio como inyección de SQL y ataques XSS.
A la espera de los desarrolladores de reaccionar macros y fuera de los parches, los investigadores no ofrecen ninguna solución.
Pero que desaconsejan el uso de algoritmos de cifrado en casa, un proceso que consideran muy arriesgado .
Fuente : Presentación en la ekoparty Conferencia de Seguridad, Libro Blanco sobre el POA ( PDF )
No hay comentarios:
Publicar un comentario