攻擊者以ASP.NET加密漏洞為攻擊目標
微軟發布警告稱目前已經發現可以利用ASP.NET加密漏洞的攻擊。
該漏洞影響微軟的.NET framework,該框架幾乎在所有的Windows版本上運行。在兩名研究員發布Padding Oracle Exploit Tool(可自動找出和利用ASP.NET Web應用程序中的加密padding Oracle漏洞)后不幾天,該攻擊就開始了。
攻擊通過欺騙Web服務器,在服務器返回的錯誤信息中尋找敏感信息。Web服務器返回的錯誤信息可以被攻擊者用來破解AES加密。
在微軟安全響應中心博客上,微軟響應通信組經理Jerry Bryant說微軟已確定他們的一些客戶的系統正在經歷這種攻擊。研究人員私自泄露該漏洞的可能性不大。
Bryant寫道,“和往常一樣,我們繼續鼓勵基于社區的防御。我們認為一旦漏洞詳情向公眾公布,該漏洞被利用的風險就會大大增加。如果不通過協作來提供安全更新或合適的指南,風險就會擴大。”
OWASP Foundation主席和Web應用程序測試商Aspect Security的CEO Jeff Williams說該漏洞很嚴重,但是許多開發者和安全團隊能修復易受感染的應用程序。ASP.NET應用程序在網絡上占Web應用程序的比例為25%到30%,但是現在許多企業在Java 或PHP中開發Web應用程序。
Williams說,“可以想象的是許多其他種類的環境也容易受到這種類型的攻擊,所以人們應該意識到這點。但這個問題并不是很難修復的。”
Padding oracle漏洞影響加密的執行,研究社區在2002年就已經了解這個問題。據POET工具的研究者Juliano Rizzo和Thai Duong說,Ruby on Rails和OWASP企業安全API工具包也可能會受到該漏洞的影響。Rizzo在研究論文上寫了關于padding攻擊技術的文章。
微軟安全工程師在安全研究和防御博客上概述了ASP.NET漏洞。并且在博客中發表了可以用來發現易感染的ASP.NET應用程序的腳本。微軟在ASP.NET安全咨文中建議用戶將Web應用程序返回的錯誤信息設置為一致的信息,從而增加攻擊者使用技術進行攻擊的難度。
【編輯推薦】
