微软9月17日发布安全预警,ASP.NET爆出最新安全漏洞, 即Microsoft Security Advisory (2416728)。SecurityFocus上已将此漏洞定义成了"Design Error"。此次发现的安全漏洞源自ASP.NET对加密组件的底层实现, 所以它将影响所有基于ASP.NET的应用程序, 包括 Web Form 应用程序以及所有使用ASP.NET MVC 框架的应用程序. 包括xp,2003,vista,win7,2008, 2008r2等服务器版本,以及从asp.net 1.0,2.0,3.5,4.0等版本都会受此影响,目前网络上已出现针对此漏洞展开的攻击行为, 并预计相关活动将会在近日大幅上升.
安恒信息(dbappsecurity)研发团队迅速分析该漏洞,发现攻击者可以利用该漏洞做以下信息
1.读取服务器上的一些文件,比如web.config, 联系到广大aps.net的用 户可能有90%的人是直接将数据库密码明文写在web.config里面的,该漏洞的影响可想而知;
2.获取一些加密信息,比如View State;
3.通过发送一些修改的信息来查看一些服务器返回的error code,从而进一步攻击
安恒研究人员发现,通过一个工具,能够修改被AES加密过的ASP.NET窗体验证cookie;然后检查返回错误信息;获取Machine Key。这个过程100%成功而且只需要30分钟。一旦Machine key被破解出来了,黑客就能够模拟出验证 cookie。如果网站设计者启动了选项,让安全信息放入security cookie,那么攻击者就能够获取管理员权限。影响范围包括:membership provider, viewstate, 保存在security cookie里面的所有信息。
发动这种攻击,黑客需要通过不断重复发送信息,检测返回的错误信息,然后了解加密算法,最后实现攻击。安恒信息明御TM WEB应用防火墙是结合多年应用安全的攻防理论和应急响应实践经验研发而成,不需要升级或进行任何修改配置就能防范此漏洞的攻击。明御TM WEB应用防火墙WAF系统内置安全防护策略,可以灵活定义HTTP/HTTPS错误返回的默认页面,避免因为WEB服务异常,导致敏感信息;对异常态的HTTP响应页面进行修改过滤或者伪装,防止敏感信息泄露,让黑客无从利用实施攻击,从根源上杜绝这类漏洞。
由于微软官方没有开发出补丁,因此该漏洞很可能造成严重的危害。安恒信息发现国外黑客已经开始对国内使用ASP.NET的部分网站实施恶意攻击,建议没有部署安恒信息相关产品的用户,请尽快咨询安恒信息技术服务人员,以获得临时性解决方案,降低安全风险等级。