Microsoft advirtió a los usuarios de la existencia de un agujero crítico en ASP.Net. La brecha puede ser aprovechada por los atacantes para intervenir sesiones web encriptadas y robar nombres de usuarios y contraseñas de los websites.
Según la información dada por Microsoft, la falla afecta a todas las versiones de ASP.Net, entorno de aplicación web de la compañía utilizado para en la creación de millones de sitios y aplicaciones. Por tanto, Microsoft tendrá que cubrir la totalidad de versiones soportadas de su sistema operativo Windows, desde XP Service Pack 3 (SP3) y Server 2003 hasta Windows 7 y Server 2008 R2, así como otros productos, incluidos los servidores IIS (Internet Information Server) y SharePoint.
Microsoft ha hecho pública la vulnerabilidad el mismo día que dos investigadores especializados en seguridad, Juliano Rizzo y Thai Duong, demostraban en el marco de la conferencia Ekoparty, que se está celebrando en Buenos Aires (Argentina), cómo es posible explotar la encriptación de ASP.Net para descodificar cookies de sesión y otros datos encriptados sobre un servidor remoto y después acceder y robar archivos de sitios o aplicaciones web basadas en el entorno de Microsoft.
Según Rizzo y Duong, su ataque les permite acceder a aplicaciones web con el nivel más alto de privilegios de administrador, con lo que es posible realizar cualquier acción sobre el sistema, desde revelar información residente en él, hasta comprometerlo por completo. De acuerdo con las estimaciones de estos dos investigadores, el 25% de todos los sitios web a nivel mundial utilizan ASP.Net.
Para prevenir los ataques contra la falla hasta que el correspondiente parche esté disponible, Microsoft recomienda activar la funcionalidad customErrors de ASP.Net y configurar explícitamente las aplicaciones para entregar siempre la misma página de error, independientemente del tipo de error, dado que el agujero es explotable consiguiendo acceso a tales páginas y analizando los distintos mensajes de fallo hasta descubrir la clave de encriptación.