Microsoft предупреждает об опасности использования .NET-приложений
Представители Microsoft признались в том, что за последние несколько дней участились случаи несанкционированного доступа к личной информации пользователей, работающих с приложениями веб-разработок на основе технологии .NET.
Как оказалось, в механизме защиты ASP.NET существует определенный изъян, способствующий злоумышленнику получить доступ к удаленной информации, используя специально сгенерированный запросы. Если на сервере, ответственном за обработку .NET приложений включен режим шифрования CBC, то хакер получает возможность расшифровать интересующие его данные исходя из ответов сервера, содержащих код ошибки, которые можно интерпретировать и получить доступ к абсолютно любой информации на компьютере, работающем на ASP.Net 3.5 SP1 и старше.
Механизм уязвимости следующий: сервер не справляется с обработкой огромного числа запросов с заранее поврежденными данными не производится корректный анализ этих данных, отсылаются множественные ответы об ошибках, хакер вычисляет специальный ключ шифрования, позволяющий проникнуть на компьютер-жертву.
Специалистами компании-разработчика в Глобальной сети уже были обнаружены примеры атак на реальные физические сервера, чего не было ранее, и число этих атак постоянно растет, временное решение проблемы в виде специально выпущенного «фикса», отправляющего при нахождении ошибки в запросе стандартный вариант ответа, результата не дало – хакеры используют слишком большое количество вариаций поврежденных сообщений.
Специалисты компании предупреждают о том, что в настоящее время опасно использование абсолютно всех веб-приложений, использующих в своей работе стандартные механизмы защиты ASP.NET для хранения конфиденциальных данных.
Решение проблемы, скорее всего, появится лишь в октябре.
