Vulnerabilità 0-Day per ASP.NET: a rischio le applicazioni non configurate correttamente

di Daniele Bochicchio, in ASP.NET,

L'attacco sfrutta una cattiva configurazione dell'applicazione, che deve avere gli errori custom disattivati.

È stata riportata una vulnerabilità 0-Day legata a tutte le versioni di ASP.NET supportate (dalla 1.1 alla 4.0), che è in grado, in circostanze particolari, di portare anche all'accesso di file da remoto.

La vulnerabilità è legata all'implementazione del meccanismo di criptazione di ASP.NET, che tra l'altro agisce con ViewState e FormsAuthentication. In situazioni particolari è possibile eseguire un attacco che effettui la decriptazione e quind il tampering dei dati , consentendo di guadagnare l'accesso ad informazioni sensibili, oppure di effettuare un login da remoto.

Occorre precisare che perchè questa vulnerabilità abbia il suo effetto l'applicazione deve essere stata configurata per mostrare l'errore completo, contrariamente alle best practice, che invece prevedono che sia sempre attiva una pagina di errore che mostri all'utente un messaggio e non informazioni di sistema.

Microsoft ha messo a disposizione uno script che controlla, dato un percorso, se i web.config presenti sono corretti, perchè la sola cosa da fare è quella di evitare di lasciare disattivata la pagina di errore custom:

<customErrors mode="RemoteOnly" defaultRedirect="/Error.htm"/>

Questo, tra l'altro, è il comportamento di default e deve essere forzatamente disattivato dall'utente. Dove ci fosse la necessità di poter controllare l'errore esteso anche da remoto, è possibile sfruttare un HttpModule come questo, che consente di mostrare l'errore esteso solo agli IP o ruoli abilitati.

Aggiornamenti

20 settembre

Per esser certi che non ci siano problemi, è necessario aggiungere un delay random alle pagine di errore. Maggiori informazioni e lo script in C# e VB si trovano nel blog di Scott Guthrie.

28 settembre

La patch sarà rilasciata nella giornata di oggi, con download diretto. Successivamente, sarà disponibile anche via Windows Update. Appena saranno disponibili i link, li aggiungeremo a questo post.

29 settembre: patch disponibile

È stata rilasciata la patch, che ora è scaricabile.

30 settembre

La patch è disponibile anche via Windows Update. Non necessita di un reboot, ma interrompe momentaneamente IIS.

Approfondimenti

Commenti

Visualizza/aggiungi commenti

| Condividi su: Twitter, Facebook, LinkedIn

Per inserire un commento, devi avere un account.

Fai il login e torna a questa pagina, oppure registrati alla nostra community.

Approfondimenti