微软发布警告称目前已经发现可以利用ASP.NET加密漏洞的攻击。
该漏洞影响微软的.NET framework,该框架几乎在所有的Windows版本上运行。在两名研究员发布Padding Oracle Exploit Tool(可自动找出和利用ASP.NET Web应用程序中的加密padding Oracle漏洞)后不几天,该攻击就开始了。
攻击通过欺骗Web服务器,在服务器返回的错误信息中寻找敏感信息。Web服务器返回的错误信息可以被攻击者用来破解AES加密。
在微软安全响应中心博客上,微软响应通信组经理Jerry Bryant说微软已确定他们的一些客户的系统正在经历这种攻击。研究人员私自泄露该漏洞的可能性不大。
Bryant写道,“和往常一样,我们继续鼓励基于社区的防御。我们认为一旦漏洞详情向公众公布,该漏洞被利用的风险就会大大增加。如果不通过协作来提供安全更新或合适的指南,风险就会扩大。”
OWASP Foundation主席和Web应用程序测试商Aspect Security的CEO Jeff Williams说该漏洞很严重,但是许多开发者和安全团队能修复易受感染的应用程序。ASP.NET应用程序在网络上占Web应用程序的比例为25%到30%,但是现在许多企业在Java 或PHP中开发Web应用程序。
Williams说,“可以想象的是许多其他种类的环境也容易受到这种类型的攻击,所以人们应该意识到这点。但这个问题并不是很难修复的。”
Padding oracle漏洞影响加密的执行,研究社区在2002年就已经了解这个问题。据POET工具的研究者Juliano Rizzo和Thai Duong说,Ruby on Rails和OWASP企业安全API工具包也可能会受到该漏洞的影响。Rizzo在研究论文上写了关于padding攻击技术的文章。
微软安全工程师在安全研究和防御博客上概述了ASP.NET漏洞。并且在博客中发表了可以用来发现易感染的ASP.NET应用程序的脚本。微软在ASP.NET安全咨文中建议用户将Web应用程序返回的错误信息设置为一致的信息,从而增加攻击者使用技术进行攻击的难度。