Microsoft cảnh báo về các cuộc tấn công tàn khốc và lỗi các ứng dụng web

Microsoftwarns of in-the-wild attacks on web app flaw

Tớilúc để chơi với đệm chỉ đường ASP.Net của bạn

Timeto gag your ASP.Net oracle

By DanGoodin in San Francisco • Getmore f-rom this author

Posted in EnterpriseSecurity, 21stSeptember 2010 18:38 GMT

Theo:http://www.theregister.co.uk/2010/09/21/asp_dot_net_padding_oracle_fix/

Bài được đưa lênInternet ngày: 21/09/2010

Lờingười dịch: Một lỗi làm cho các dữ liệu mã hóa trongcác ứng dụng ASP.NET làm cho những kẻ tấn công có thểmở được các tệp mật khẩu và những dữ liệu nhạycảm khác của người sử dụng Windows. Một trong nhữngngười tìm ra lỗi này là Thái Dương (người Việt Nam?).Hiện Microsoft mới chỉ có bản khắc phục tạm thời,chưa có bản vá chính thức và cũng chưa hứa khi nào cóbản vá chính thức. Phiên bản vá thường xuyên tiếptheo của hãng sẽ là vào ngày 12/10.

Những kẻ tấn côngđã bắt đầu khai thác một chỗ bị tổn thương đượcphát lộ gần đây trong các ứng dụng phát triển theocông nghệ web của Microsoft mà nó mở ra các tệp mậtkhẩu và những dữ liệu nhạy cảm khác để can thiệpvà thâm nhập được.

Tính có thể bị tổnthương theo cách mà các dữ liệu mã hóa của các ứngdụng ASP.Net đã được phát hiện vào tuần trước tạiHội nghị Ekoparty tại Argentina. Microsoft hôm thứ sáu đãđưa ra một vá lỗi tạm thời cho cái gọi là “tấncông đệm mật mã”, mà nó cho phép những kẻ tấn cônggiải mã các tệp được bảo vệ bằng việc gửi cho cáchệ thống bị tổn thương số lượng lớn các yêu cầugiả.

Bây giờ, các chuyêngia về an ninh của Microsoft nói họ đang coi “các cuộctấn công bị hạn chế” đang khốc liệt và đã cảnhbáo rằng chúng có thể được sử dụng để đọc vàcan thiệp với hầu hết các tệp cấu hình nhạy cảmnhất của hệ thống.

“Có một tổ hợpcác cuộc tấn công mà được thực hiện công khai mà cóthể là rò rỉ các nội dung của tệp web.config của bạn,bao gồm bất kỳ thông tin nhạy cảm và không được mãhóa nào trong tệp đó”. Scott Guthrie của Microsoft đãviết vào tối thứ hai: “Bạn nên áp dụng sự khắcphục cho khối tấn công đệm chỉ đường trong giai đoạnban đầu của cuộc tấn công ” (ông nói các dữ liệunhạy cảm bên trong các tệp web.config cũng có thể đượcmã hóa).

Nhân viên củaMicrosoft cũng cảnh bảo về các ứng dụng của ASP.Net màlưu các mật khẩu, các chuỗi kết nối cơ sở dữ liệuhoặc các dữ liệu nhạy cảm khác trong đối tượngViewState. Vì những đối tượng như vậy là truy cập đượctới bên ngoài, nên các ứng dụng của Microsoft tự độngmã hóa các nội dung của nó.

Nhưng bằng việc dộibom một máy chủ bị tổn thương với số lượng lớncác dữ liệu giả và sau đó cẩn thận phân tích cácthông điệp lỗi của các kết quả, những kẻ tấn côngcó thể suy luận ra được khóa được sử dụng để mãhóa các tệp đó. Cuộc tấn công theo các kênh có thểđược sử dụng để chuyển thực tế bất kỳ tệp nàomà kẻ tấn công chọn.

Sự sửa lỗi tạmthời liên quan tới việc cấu hình cho các ứng dụng saocho tất cả các thông điệp lỗi được ánh xạ tới mộttrang lỗi duy nhất mà ngăn ngừa được kẻ tấn côngngụy trang giữa các dạng lỗi khác nhau. Một script đểxác định các định hướng mà làm hé lộ một cách vôích những manh mối mật mã quan trọng có ởđây.

Thai Duong, một trongnhững nhà nghiên cứu mà đã phát hiện ra chỗ bị tổnthương này vào tuần trước, đã nói ởđây rằng đơn giản hãy tắt các thông điệp lỗitùy biến là không đủ để gạt bỏ những khai thác vìnhững kẻ tấn công có thể vẫn đo đếm được sốlượng thời gian khác nhau được yêu cầu cho các lỗinhất định nào đó sẽ quay lại được.

Guthrie của Microsoftnói các phiên bản 3.5 SP1 hoặc 4.0 của nền tảng .NETtrong đó các ứng dụng chạy có những bảo vệ để ngănngừa các phân tích thời gian như vậy. Chúng đưa vào mộtlựa chọn trong tính năng customErrors mà đưa ra một sựtrễ ngẫu nhiên trong trang lỗi. Ông khuyến cáo bật nólên và cấu hình cho các ứng dụng để trả về chínhxác trả lời lỗi y hệt bất kể lỗi dó đã gặp trênmáy chủ.

Microsoft dã không nóikhi nào hãng có kế hoạch đưa ra một sự sửa lỗi vĩnhviễn. Phiên bản vá thường xuyên tiếp theo của hãng sẽlà vào ngày 12/10.

Attackershave begun exploiting a recently disclosed vulnerability in Microsoftweb-development applications that opens password files and othersensitive data to interception and tampering.

Thevulnerability in the way ASP.Net apps encrypt data was disclosedlast week at the Ekoparty Conference in Argentina. Microsoft onFriday issueda temporary fix for the so-called “cryptographic paddingattack,” which allows attackers to decrypt protected files bysending vulnerable systems large numbers of corrupted requests.

Now,Microsoft security pros say they are seeing “limited attacks” inthe wild and warned that they can be used to read and tamper with asystem's most sensitive configuration files.

“Thereis a combination of attacks that was publicly demonstrated that canleak the contents of your web.config file, including any sensitive,unencrypted, information in the file,” Microsoft's Scott Guthriewroteon Monday night. “You should apply the workaround to block thepadding oracle attack in its initial stage of the attack.” (He wenton to say sensitive data within web.config files should also beencrypted.)

Microsoftpersonnel also warned about ASP.Net applications that storepasswords, database connection strings or other sensitive data in theViewState object. Because such objects are accessible to the outside,the Microsoft apps automatically encrypt its contents.

Butby bombarding a vulnerable server with large amounts of corrupteddata and then carefully analyzing the error messages that result,attackers can deduce the key used to encrypt the files. Theside-channel attack can be used to convert virtually any file of theattacker's choosing.

Thetemporary fix involves reconfiguring applications so that all errormessages are mapped to a single error page that prevents the attackerf-rom distinguishing among different types of errors A script toidentify the oracles that needlessly reveal important cryptographicclues is here.

ThaiDuong, one of the researchers who disclosed the vulnerability lastweek, saidhere that simply turning off custom error messages was not enoughto ward off exploits because attackers can still measure thedifferent amounts of time required for certain errors to be returned.

Microsoft'sGuthrie said versions 3.5 SP1 or 4.0 of the .Net platform on whichthe applications run have protections to prevent such timinganalysis. They include an option in the customErrors feature thatintroduces a random delay in the error page. He recommends turning iton and configuring apps to return precisely the same error responseregardless of the error encountered on the server.

Microsofthasn't said when it plans to issue a permanent fix. Its next regularpatch release is scheduled for October 12. ®

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com