Lỗi Zero-Day của ASP.NET

Tác giả admin+, T.Tư 13, 2011, 12:28:54 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Lỗi Zero-Day của ASP.NET


Công cụ giúp kiểm tra hệ thống có khả năng bị khai thác bởi điểm yếu:

       
  • DetectCustomErrorsDisabled.vbs Script
  • Cập nhật ngày lúc 01:12 ngày 01/10/2010
Microsoft đã có bản vá khắc phục điểm yếu:

       
  • Hai chuyên gia nghiên cứu bảo mật Dương Ngọc Thái và Juliano Rizzo vừa công bố một lỗi nghiêm trọng của ASP.NET có thể gây ra hậu quả làm lộ thông tin bí mật của hệ thống.
1. Mô tả.

Lỗi này nằm trong cơ chế thực hiện mã hóa phiên làm việc của ứng dụng web ASP.NET, dẫn tới việc kẻ tấn công có thể thăm dò để tìm ra khóa giải mã trong một thời gian ngắn.
Hiện tại chưa có bản vá chính thức cho lỗi này.

2. Tác hại.

Kẻ tấn công khai tác vào lỗ hổng này có thể tìm ra khóa giải mã để đọc nội dung những thông tin đã được mã hóa. Từ đó, kẻ xấu có thể thực hiện các thao tác tấn công leo thang để chiếm quyền điều khiển hệ thống.

3. Giải pháp.


Lỗ hổng này mới được phát hiện và chưa có bản vá.

Trong thời gian chờ đợi Microsoft phát hành bản vá, để giảm thiểu các nguy cơ bị tấn công khai thác lỗi này, Trung tâm VNCERT khuyến cáo thực hiện giải pháp tình thế như sau:

       
  • Thiết lập cấu hình để hệ thống trả về cùng một thông báo lỗi đối với những truy vấn web không hợp lệ.
  • Tăng thời gian chờ khi hiển thị các thông báo lỗi để tránh bị tấn công thăm dò.
  • Tăng cường giám sát hệ thống để phát hiện kịp thời các cuộc tấn công thăm dò vào hệ thống.
Các hệ thống có khả năng bị ảnh hưởng:

       
  • Tất cả các phiên bản của ASP.NET.

Các chủ đề tương tự (1)