ASP.NET, una patch d'emergenza

Microsoft distribuisce la pezza per una falla recentemente individuata. Gli attacchi avevano iniziato a fioccare. Ma la falla è strutturale, e non riguarda solo il framework di Redmond
Microsoft distribuisce la pezza per una falla recentemente individuata. Gli attacchi avevano iniziato a fioccare. Ma la falla è strutturale, e non riguarda solo il framework di Redmond

In una mossa alquanto inusuale per le metodologie con cui a Redmond sono soliti gestire le vulnerabilità dei software e dei sistemi operativi, nelle scorse ore Microsoft ha distribuito una patch di sicurezza straordinaria pensata per chiudere un buco individuato nel framework di sviluppo web ASP.NET e fermare gli attacchi registrati nel corso dell’ultima settimana.

La falla è stata in precedenza descritta nell’ advisory numero 2416728 , mentre la patch ora pubblicata con il bollettino MS10-070 rende di fatto inutili le soluzioni tampone indicate nel suddetto advisory. La principale particolarità della patch, comunque, risiede nel fatto che essa si riferisca a una vulnerabilità classificata come “importante” dai tecnici di Redmond, mentre in genere le pezze rilasciate fuori dal tradizionale ciclo del secondo martedì del mese riguardano solo vulnerabilità “critiche”.

Il problema affrontato – e augurabilmente risolto – dal bollettino MS10-070 riguarda il sistema di cifratura dei dati impiegato da ASP.NET, un meccanismo che per quanto protegga l’integrità delle informazioni può comunicare dati cruciali sulla suddetta cifratura attraverso i messaggi di errore inviati al server. Analizzando tali messaggi – e le informazioni extra inviate agli algoritmi di cifratura per raggiungere il giusto multiplo di 8 o 16 byte – un malintenzionato potrebbe individuare le chiavi necessarie a decifrare i contenuti protetti o anche a codificarne a propria volta .

La falla corretta dalla nuova patch di Microsoft è di quelle di tipo “strutturale”, e non coinvolge solo ASP.NET ma anche altri popolari framework di sviluppo telematico come Apache MyFaces e Ruby On Rails, e persino alcuni sistemi CAPTCHA . Il problema è noto sin dal lontano 2002, ma solo da alcuni giorni Microsoft ha registrato una serie di “attacchi limitati” ad ASP.NET che l’hanno spinta a intervenire anzitempo.

E visto che nel mondo Windows le vulnerabilità di sicurezza non sono mai troppe, per una falla che viene corretta un’altra viene disvelata all’interno del componente ActiveX msnetobj.dll . La libreria fa parte dei meccanismi DRM integrati nel sistema operativo ed è pensata per prevenire il salvataggio o la visualizzazione non autorizzata di alcuni file sotto certe condizioni e circostanze limitate. Il DRM protegge i file blindati dagli utenti ma in compenso regala a questi ultimi tre vulnerabilità tre , con altrettante possibilità di attacco tramite denial of service , buffer overflow e/o integer overflow .

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

29 09 2010
Link copiato negli appunti