Un par de investigadores de seguridad han puesto en marcha un ataque que explota la forma en que las aplicaciones Web ASP.NET manejar cookies de sesi?ifrada, una debilidad que podr?permitir a un atacante robar las sesiones de los usuarios de banca en l?a y causar otros problemas graves en las aplicaciones vulnerables. . Los expertos dicen que el fallo, que ser?iscutido en detalle en la conferencia de Ekoparty en Argentina esta semana, afecta a millones de aplicaciones Web.
El problema radica en la forma en que ASP.NET, marco de referencia de Microsoft, implementa el algoritmo de cifrado AES para proteger la integridad de las cookies estas aplicaciones generan para almacenar la informaci?urante las sesiones de usuario. Un error com?s asumir que la encriptaci?rotege las cookies de manipulaci?e modo que si todos los datos en la cookie se modifica, la cookie no se descifra correctamente.Sin embargo, hay un mont?e maneras de cometer errores en las implementaciones de cifrado, y cuando se rompe de cifrado, por lo general se rompe mal.
«Sab?os que era vulnerable a ASP.NET nuestro ataque hace varios meses, pero no sab?os lo grave que es hasta hace un par de semanas. Resulta que la vulnerabilidad en ASP.NET es el m?cr?co, entre otros marcos. En definitiva, se destruye por completo la seguridad de ASP.NET «, dijo Duong tailandesa, quien junto con Juliano Rizzo, que desarroll? ataque en contra de ASP.NET.
La pareja ha desarrollado una herramienta espec?ca para su uso en este ataque, llamado el relleno de Oracle Exploit herramienta . . Su ataque es una aplicaci?e una t?ica que se ha conocido al menos desde 2002, cuando Serge Vaudenay present?a ponencia en el tema en Eurocrypt .
Te interesa??? Pues a LEER MAS >>>
CarlosUES
En este caso, la aplicaci?SP.NET 's de AES tiene un error en la forma en que se trata de errores en los datos cifrados en una cookie ha sido modificado. Si el texto cifrado se ha cambiado, la aplicaci?ulnerable, generar?n error, lo que dar?n atacante alguna informaci?obre la forma en que la aplicaci?unciona descifrado proceso. M?errores de los medios m?datos. Y mirando a bastantes de esos errores se pueden dar al atacante suficientes datos para realizar el n?o de bytes que tiene que adivinar para encontrar la clave de cifrado lo suficientemente peque?ue es realmente posible.
El ataque permite a alguien para descifrar «cookies», que podr? contener datos valiosos tales como cuentas bancarias, n?os de Seguro Social o claves criptogr?cas. El atacante tambi?podr?rear tickets de autenticaci?ara una aplicaci?eb vulnerables y los abusos de otros procesos que utilizan cifrado de la aplicaci?e la API.
Rizzo y Duong hizo un trabajo similar a principios de este a?n JavaServer Faces y otros marcos Web que se en Black Hat Europe . Continuaron su investigaci? se encontr?e era vulnerable a ASP.NET el mismo tipo de ataque. El tipo de ataque se conoce como un ataque de relleno a Oracle y se basa en la aplicaci?eb que utiliza cifrado de bloques para su modo de encadenamiento de cifrado, que muchas de las aplicaciones lo hacen.
Cifrados en bloque necesidad de descifrar los mensajes que se dividen en bloques que son un m?plo del tama?e bloque especificado, ocho bytes, por ejemplo. Como los mensajes no siempre encajan en aseada tama?de ocho bytes, a menudo requieren de relleno para alcanzar el tama?specificado. El ataque que Rizzo y Duong han implementado aplicaciones ASP.NET contra requiere que la aplicaci?e cifrado en el sitio Web tienen un or?lo que, cuando se env?el texto cifrado, no s?descifrar el texto, pero el remitente un mensaje acerca de si el relleno en el texto cifrado es v?do.
Si el relleno no es v?do, el mensaje de error que el remitente se le dar?lguna informaci?obre la forma en que el sitio de las obras de descifrado proceso. Rizzo y Duong dijo que el ataque es fiable al 100 por ciento de las veces en las aplicaciones ASP.NET, aunque el tiempo para el ?to puede variar ampliamente. La limitaci?e recursos reales en este ataque son la velocidad del servidor y el ancho de banda disponible.
Adem? un atacante podr?ejecutar esta t?ica sin esperar a que los mensajes de error utilizando la informaci?btenida a trav?de las fugas del canal lateral.
«Vale la pena notar que el ataque es 100% fiable, es decir, uno puede estar seguro de que una vez que ejecute el ataque, que pueden explotar el objetivo. Es s?una cuesti?e tiempo. Si el atacante tiene suerte, entonces ?puede ser due?e cualquier ASP. NET p?na web en cuesti?e segundos. El tiempo promedio para completar el ataque es de 30 minutos. El tiempo m?largo que nunca se necesita es menos de 50 minutos «, dijo Duong.
ASP.NET es un framework web muy popular, y Rizzo y Duong estima que el 25 por ciento de la l?a las aplicaciones se construyen utilizando ASP.NET.. Sin embargo, ese n?o es mucho mayor en los mundos de los servicios corporativos y financieros, y aplicaciones como la banca online y comercio electr?o ser?obviamente los principales objetivos de este ataque.
Aunque los ataques de cifrado puede ser bastante compleja, Rizzo dijo que esta t?ica puede ser realizada por un atacante moderadamente cualificados.
«La primera etapa del ataque tarda unos pocos miles de peticiones, pero una vez que tiene ?to y el atacante obtiene las claves secretas, es totalmente stealthy.The conocimiento criptogr?ca requerida es muy b?ca», dijo Rizzo.
ESta es una traduccion automatizada de Google Translator… asi que sorry por los sinsentidos. http://threatpost.com/en_us/blogs/new-crypto-attack-affects-millions-aspnet-apps-091310