Con la ekoparty ocurriendo esta semana, ya empezaron a salir al aire problemas y logros obtenidos por alguno sus conferenciantes. En este caso, Juliano Rizzo y Thai Duong anunciaron que el viernes, cuando finalice el evento, harán público un exploit que encontraron en la tecnología de ASP.NET de Microsoft para aplicaciones Web. El ataque por el cual se logra tiene, según sus descubridores, 100% de efectividad, y vuelve a cualquier persona dueña del sitio en un lapso que puede ir de segundos hasta, como máximo, 50 minutos. Los únicos limitantes son la velocidad del server y el ancho de banda que uno tenga.
El ataque se realiza mediante una aplicación de una técnica conocida desde 2002, y se vale de la forma en que ASP.NET implementa el algoritmo de encripción AES. Cuando hay un cambio en una cookie encriptada, se genera un error, que provee al atacante de información acerca de cómo funciona la decripción en la aplicación. De ese modo, generando suficientes errores se puede acumular la información necesaria como para obtener la llave de encripción. Por lo tanto, el atacante puede, finalmente, desencriptar información de las cookies encriptadas que haya podido sniffear.
Duong y Rizzo estiman que el 25% de las aplicaciones web están desarrolladas con ASP.NET, haciéndolas por lo tanto vulnerables al ataque. Se cree que ese porcentaje es mucho mayor en ambientes corporativos y bancarios, que además suelen ser el target preferido de los atacantes. Rizzo dijo que esta técnica, si bien es compleja, puede ser llevada a cabo por cualquier atacante medianamente habilidoso.
Este viernes, entonces, se hará finalmente pública la técnica y veremos cómo Microsoft y los diferentes sitios que utilicen ASP.NET para sus aplicaciones responden ante el mismo (esperemos que de manera urgente, y solucionen el problema).
Vía Slashdot y parte de prensa de la ekoparty.
Actualización: cabe destacar que, si bien es una falla grave, puede no provocar tantos problemas al usuario final, porque se tienen que dar diversos factores para que el ataque logre conseguir información útil y vital. Primero que nada, el atacante debe sniffear cookies, algo que es difícil (sino imposible) si se utilizan las medidas adecuadas; luego, hay que ver qué información tienen esas cookies (ya que es una especie de norma el no poner información importante en ellas).
Gracias venomous y Julián.
