lunes, 20 de septiembre de 2010

Descubren una vulnerabilidad 0 day en ASP.NET

Durante la EkoParty, evento de seguridad informática celebrado en Argentina, Juliano Rizzo y Thai Duong han mostrado una vulnerabilidad en ASP.NET que ha sido calificada como '0 day', es decir, ni Microsoft ni ninguna otra persona tenían el conocimiento de la existencia de dicho error, por lo que, por el momento, no hay solución que la subsane.

Antes de mostrar cómo funciona la vulnerabilidad, sus descubridores comentaron varios temas sobre criptografía, los cuales permiten que se pueda realizar el ataque, además de destacar algunos de los problemas de seguridad que sufre ASP.NET, como el hecho de que no se debe guardar ningún dato crítico en el directorio raíz, puesto que el archivo de configuración de .NET, web.config, que contiene información de usuarios y claves se encuentra en dicho directorio.

Por último, y antes de dejaros con el vídeo de demostración de la vulnerabilidad, comentaros que todos los sitios desarrollados en ASP.NET son potenciales víctimas de este ataque. Asimismo, Microsoft ha trata de quitarle importancia a la vulnerabilidad y aseguran que están trabajando en la búsqueda de una solución.


Vía: Alt1040

No hay comentarios: