Grave vulnerabilidad en ASP.NET

El software de Microsoft ASP.NET es utilizado en un gran número de páginas web. Unos investigadores de seguridad han descubierto un problema en el método que implementa de cifrado AES y podría dejar al descubierto los datos de los usuarios. La vulnerabilidad y el exploit utilizado serán demostrados esta semana en Ekoparty Conference, donde sus descubridores mostrarán la gravedad de dicha vulnerabilidad.

Thai Duong y Juliano Rizzo son los investigadores que han descubierto el problema y han creado un ataque a modo demostrativo, que, argumentan es 100% efectivo. También han comentado que sabían que ASP.NET era vulnerable a este tipo de ataques hace varios meses, pero no sabían exactamente cómo de serio era el problema, hasta hace un par de semanas.

En palabras textuales, "el ataque destruye la seguridad de ASP.NET". Según parece, el ataque utiliza una técnica usada en exploits desde 2002 y se aprovecha del sistema de generación de mensajes de error de ASP.NET cuando se cifra datos con una cookie modificada. El mensaje de error ofrece una pequeña parte de información descifrada lo que da una idea de la clave, y si tenemos el suficiente número de mensajes de error se conseguirían descifrar los datos completamente.

El ataque tiene un tiempo medio de 30 segundos y argumentan que es completamente efectivo. Microsoft no ha querido comentar nada al respecto de momento.