| Noticias | 21 SEP 2010

Una brecha en el entorno ASP.Net de Microsoft pone en peligro millones de sitios web

Microsoft advirtió ayer a los usuarios de la existencia de un agujero crítico en ASP.Net. La brecha puede ser aprovechada por los atacantes para intervenir sesiones web encriptadas y robar nombres de usuarios y contraseñas de los websites.
Marta Cabanillas
Según la información dada por Microsoft, el fallo afecta a todas las versiones de ASP.Net, entorno de aplicación web de la compañía utilizado para en la creación de millones de sitios y aplicaciones. Por tanto, Microsoft tendrá que parchear la totalidad de versiones soportadas de su sistema operativo Windows, desde XP Service Pack 3 (SP3) y Server 2003 hasta Windows 7 y Server 2008 R2, así como otros productos, incluidos los servidores IIS (Internet Information Server) y SharePoint.
Microsoft ha hecho pública la vulnerabilidad el mismo día que dos investigadores especializados en seguridad, Juliano Rizzo y Thai Duong, demostraban en el marco de la conferencia Ekoparty, que se está celebrando en Buenos Aires (Argentina), cómo es posible explotar la encriptación de ASP.Net para descodificar cookies de sesión y otros datos encriptados sobre un servidor remoto y después acceder y robar archivos de sitios o aplicaciones web basadas en el entorno de Microsoft.
Según Rizzo y Duong, su ataque les permite acceder a aplicaciones web con el nivel más alto de privilegios de administrador, con lo que es posible realizar cualquier acción sobre el sistema, desde revelar información residente en él, hasta comprometerlo por completo. De acuerdo con las estimaciones de estos dos investigadores, el 25% de todos los sitios web a nivel mundial utilizan ASP.Net.
Para prevenir los ataques contra el fallo hasta que el correspondiente parche esté disponible, Microsoft recomienda activar la funcionalidad customErrors de ASP.Net y configurar explícitamente las aplicaciones para entregar siempre la misma página de error, independientemente del tipo de error, dado que el agujero es explotable consiguiendo acceso a tales páginas y analizando los distintos mensajes de fallo hasta descubrir la clave de encriptación.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información