15/9/2010
Sposób w jaki ASP.NET szyfruje ciastka nie jest bezpieczny. Szyfrowanie można złamać, co w konsekwencji pozwala atakującemu na wgląd w prywatne dane sesji użytkownika webaplikacji pisanych w ASP.NET. Szacuje się, że na atak podatnych jest 25% wszystkich webaplikacji na świecie.
Ataki Padding Oracle
Błąd wynika z niepoprawnej implementacji AES-a w trybie CBC (Cipher Block Chaining) — jest ona podatna na atak Oracle Padding, pozwalający na odszyfrowanie danych bez znajomości klucza. Odnalezienie właściwego klucza polega w skrócie na: modyfikacjach w paddingu, powtórzeniach żądań do serwera i badaniu odpowiedzi/błędów zwracanych przez serwer.
Jak twierdzą odkrywcy błędu, Rizzo oraz Duong:
można rozszyfrować ciasteczka, podglądać stany, tickety służace do uwierzytelniania formularzy, hasła, dane użytkowników oraz wszystko to, co zostało zaszyfrowane przy użyciu API frameworka ASP.NET. Na atak podatna jest każda webaplikacja w ASP.NET
Rizzo i Duong w czerwcu zaprezentowali narzędzie Poet (Padding Oracle Exploitation Tool) służące do ataku na framework JSF (JavaServer Faces):
Szczegóły ataku na ASP.NET zostaną ujawnione na konferencji Ekoparty, gdzie Rizzo zamierza pokazać jak zdobyć uprawnienia administratora na przy pomocy webaplikacji ASP.NET.
Nie taki straszny błąd straszny, jak go malują?
Mam wrażenie, że niebawem wszystkie polskie serwisy internetowe zaczną lamenty, jaki to straszny błąd i że katastrofa… Niesłusznie, bo badacze, zapewne nakręcając hype przed swoją prezentacją, zapomnieli wspomnieć o tym, że zdobycie klucza pozwalającego na odszyfrowanie danych sesyjnych jest jak najbardziej cool, ale te ciastka, to jeszcze trzeba podsłuchać… :>
P.S. A w jakim frameworku powstała webaplikacja twojego banku internetowego? :-)
Aktualizacja 18.09.2010
Microsoft potwierdził błąd i pokazał jak można się przed nim “na szybko” zabezpieczyć.
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Widzę tu raczej zastosowanie podczas pentest’u. Wgląd w dane sesji, może zdradzić istotne szczegóły na temat działania aplikacji.
>P.S. A w jakim frameworku powstała webaplikacja twojego banku internetowego? :-)
No nie zgadne… :P
A czemu? A bo mają support i w razie problemów można zwalić ‘na kogoś innego’
https://www.mbank.com.pl/frames.aspx : ((((
No to hackujemy idg.pl =)
moj bank jest chyba w php ale czasami tez otwieram go adobe readerze
Konretne (obszerne) omówienie narzędzia “konkurencyjnego” do P.O.E.T. razem z solidną analizą ataku http://www.gdssecurity.com/l/b/2010/09/14/automated-padding-oracle-attacks-with-padbuster/
>jak zdobyć uprawnienia administratora na przy pomocy webaplikacji ASP.NET.
@Kris
to że tam jest .aspx nie znaczy że jest napisana w asp :)… to od serwera zależy w jaki sposób i co zinterpretuje, a nóż widelec to takie STO :)
To w czym jest napisana aplikacja nie zawsze jest oczywiste…
http://bok.plusgsm.pl/Scripts/rightnow.cfg/php.exe/enduser/std_alp.php?p_sid=tRxKQaSi&p_accessibility=0
;-)
MS już działa http://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspx
Kto pisze webaplikacje w ASP?!
pewnie Ci bogatsi bo php + nadzędzia do niego to soft dla plebsu.
[…] dni temu ostrzegaliśmy przed atakiem na webaplikacje pisane w ASP.NET. Dziś znamy już szczegóły błędu, a Microsoft potwierdził zagrożenie. Poniżej prezentujemy […]
Dziś o 19:00 czasu polskiego pojawi się poprawka. http://blogs.technet.com/b/msrc/archive/2010/09/27/out-of-band-release-to-address-microsoft-security-advisory-2416728.aspx