微软发布关于ASP.NET加密漏洞的安全咨文

微软最近发布了一个安全咨文,警告用户关于ASP.NET Web应用程序框架执行AES加密的方式中的漏洞。

该漏洞影响运行于Windows所有版本的.NET framework。在2002年该问题就已经出现,但是最近两个研究人员创建了一个新的hacking工具,可以利用该漏洞来崩溃哈希算法,并在网站的cookies中查看包含的信息。

微软响应通信组的经理Jerry Bryant说,“这次,我们没有发现利用该漏洞的任何攻击。我们建议用户查看缓解和应对该漏洞的安全公告。”

但该漏洞会引起严重的威胁,因为许多网站的Web应用程序使用ASP.NET。微软估计有25%的网站使用其.NET framework。

根据ASP.NET安全咨文,该漏洞可以使攻击者查看被Web服务器加密的数据,并篡改数据内容。微软表示,“通过发送改变的内容给受影响的服务器,攻击者可以查看服务器返回的错误代码。”

此外,微软开发了一个解决方案,可以阻止攻击,即让ASP.NET应用程序返回相同的错误页面(不管服务器遇到了什么错误)。微软也发布了一个脚本,开发者可以用它来确定部署的ASP.NET应用程序是否有易受攻击的配置。

上周,在ekoparty安全会议上,研究员Juliano Rizzo和Thai Duong发布了他们的Padding Oracle Exploit Tool(POET)。该工具可以自动找出和利用ASP.NET Web应用程序中的cookie加密padding漏洞。类似的错误加密执行(可以通过padding攻击技术来利用)也可以在其他流行的Web框架中找到,包括Ruby on Rails、OWASP企业安全API工具包。