Thứ Tư, 22 tháng 9, 2010

Microsoft cảnh báo về các cuộc tấn công tàn khốc và lỗi các ứng dụng web

Microsoft warns of in-the-wild attacks on web app flaw

Tới lúc để chơi với đệm chỉ đường ASP.Net của bạn

Time to gag your ASP.Net oracle

By Dan Goodin in San FranciscoGet more from this author

Posted in Enterprise Security, 21st September 2010 18:38 GMT

Theo: http://www.theregister.co.uk/2010/09/21/asp_dot_net_padding_oracle_fix/

Bài được đưa lên Internet ngày: 21/09/2010

Lời người dịch: Một lỗi làm cho các dữ liệu mã hóa trong các ứng dụng ASP.NET làm cho những kẻ tấn công có thể mở được các tệp mật khẩu và những dữ liệu nhạy cảm khác của người sử dụng Windows. Một trong những người tìm ra lỗi này là Thái Dương (người Việt Nam?). Hiện Microsoft mới chỉ có bản khắc phục tạm thời, chưa có bản vá chính thức và cũng chưa hứa khi nào có bản vá chính thức. Phiên bản vá thường xuyên tiếp theo của hãng sẽ là vào ngày 12/10.

Những kẻ tấn công đã bắt đầu khai thác một chỗ bị tổn thương được phát lộ gần đây trong các ứng dụng phát triển theo công nghệ web của Microsoft mà nó mở ra các tệp mật khẩu và những dữ liệu nhạy cảm khác để can thiệp và thâm nhập được.

Tính có thể bị tổn thương theo cách mà các dữ liệu mã hóa của các ứng dụng ASP.Net đã được phát hiện vào tuần trước tại Hội nghị Ekoparty tại Argentina. Microsoft hôm thứ sáu đã đưa ra một vá lỗi tạm thời cho cái gọi là “tấn công đệm mật mã”, mà nó cho phép những kẻ tấn công giải mã các tệp được bảo vệ bằng việc gửi cho các hệ thống bị tổn thương số lượng lớn các yêu cầu giả.

Bây giờ, các chuyên gia về an ninh của Microsoft nói họ đang coi “các cuộc tấn công bị hạn chế” đang khốc liệt và đã cảnh báo rằng chúng có thể được sử dụng để đọc và can thiệp với hầu hết các tệp cấu hình nhạy cảm nhất của hệ thống.

“Có một tổ hợp các cuộc tấn công mà được thực hiện công khai mà có thể là rò rỉ các nội dung của tệp web.config của bạn, bao gồm bất kỳ thông tin nhạy cảm và không được mã hóa nào trong tệp đó”. Scott Guthrie của Microsoft đã viết vào tối thứ hai: “Bạn nên áp dụng sự khắc phục cho khối tấn công đệm chỉ đường trong giai đoạn ban đầu của cuộc tấn công ” (ông nói các dữ liệu nhạy cảm bên trong các tệp web.config cũng có thể được mã hóa).

Nhân viên của Microsoft cũng cảnh bảo về các ứng dụng của ASP.Net mà lưu các mật khẩu, các chuỗi kết nối cơ sở dữ liệu hoặc các dữ liệu nhạy cảm khác trong đối tượng ViewState. Vì những đối tượng như vậy là truy cập được tới bên ngoài, nên các ứng dụng của Microsoft tự động mã hóa các nội dung của nó.

Nhưng bằng việc dội bom một máy chủ bị tổn thương với số lượng lớn các dữ liệu giả và sau đó cẩn thận phân tích các thông điệp lỗi của các kết quả, những kẻ tấn công có thể suy luận ra được khóa được sử dụng để mã hóa các tệp đó. Cuộc tấn công theo các kênh có thể được sử dụng để chuyển thực tế bất kỳ tệp nào mà kẻ tấn công chọn.

Sự sửa lỗi tạm thời liên quan tới việc cấu hình cho các ứng dụng sao cho tất cả các thông điệp lỗi được ánh xạ tới một trang lỗi duy nhất mà ngăn ngừa được kẻ tấn công ngụy trang giữa các dạng lỗi khác nhau. Một script để xác định các định hướng mà làm hé lộ một cách vô ích những manh mối mật mã quan trọng có ở đây.

Thai Duong, một trong những nhà nghiên cứu mà đã phát hiện ra chỗ bị tổn thương này vào tuần trước, đã nói ở đây rằng đơn giản hãy tắt các thông điệp lỗi tùy biến là không đủ để gạt bỏ những khai thác vì những kẻ tấn công có thể vẫn đo đếm được số lượng thời gian khác nhau được yêu cầu cho các lỗi nhất định nào đó sẽ quay lại được.

Guthrie của Microsoft nói các phiên bản 3.5 SP1 hoặc 4.0 của nền tảng .NET trong đó các ứng dụng chạy có những bảo vệ để ngăn ngừa các phân tích thời gian như vậy. Chúng đưa vào một lựa chọn trong tính năng customErrors mà đưa ra một sự trễ ngẫu nhiên trong trang lỗi. Ông khuyến cáo bật nó lên và cấu hình cho các ứng dụng để trả về chính xác trả lời lỗi y hệt bất kể lỗi dó đã gặp trên máy chủ.

Microsoft dã không nói khi nào hãng có kế hoạch đưa ra một sự sửa lỗi vĩnh viễn. Phiên bản vá thường xuyên tiếp theo của hãng sẽ là vào ngày 12/10.

Attackers have begun exploiting a recently disclosed vulnerability in Microsoft web-development applications that opens password files and other sensitive data to interception and tampering.

The vulnerability in the way ASP.Net apps encrypt data was disclosed last week at the Ekoparty Conference in Argentina. Microsoft on Friday issued a temporary fix for the so-called “cryptographic padding attack,” which allows attackers to decrypt protected files by sending vulnerable systems large numbers of corrupted requests.

Now, Microsoft security pros say they are seeing “limited attacks” in the wild and warned that they can be used to read and tamper with a system's most sensitive configuration files.

“There is a combination of attacks that was publicly demonstrated that can leak the contents of your web.config file, including any sensitive, unencrypted, information in the file,” Microsoft's Scott Guthrie wrote on Monday night. “You should apply the workaround to block the padding oracle attack in its initial stage of the attack.” (He went on to say sensitive data within web.config files should also be encrypted.)

Microsoft personnel also warned about ASP.Net applications that store passwords, database connection strings or other sensitive data in the ViewState object. Because such objects are accessible to the outside, the Microsoft apps automatically encrypt its contents.

But by bombarding a vulnerable server with large amounts of corrupted data and then carefully analyzing the error messages that result, attackers can deduce the key used to encrypt the files. The side-channel attack can be used to convert virtually any file of the attacker's choosing.

The temporary fix involves reconfiguring applications so that all error messages are mapped to a single error page that prevents the attacker from distinguishing among different types of errors A script to identify the oracles that needlessly reveal important cryptographic clues is here.

Thai Duong, one of the researchers who disclosed the vulnerability last week, said here that simply turning off custom error messages was not enough to ward off exploits because attackers can still measure the different amounts of time required for certain errors to be returned.

Microsoft's Guthrie said versions 3.5 SP1 or 4.0 of the .Net platform on which the applications run have protections to prevent such timing analysis. They include an option in the customErrors feature that introduces a random delay in the error page. He recommends turning it on and configuring apps to return precisely the same error response regardless of the error encountered on the server.

Microsoft hasn't said when it plans to issue a permanent fix. Its next regular patch release is scheduled for October 12. ®

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.