Microsoft warnt vor Leck in ASP.NET

SicherheitSicherheitsmanagementSoftware

Die von ASP.NET genutzt Verschlüsselung lässt sich Microsoft zufolge attackieren, so dass sich Daten abfangen beziehungsweise auslesen lassen. In einigen Fällen wird das Leck bereits ausgenutzt.

Laut Microsoft sind alle Versionen von ASP.NET betroffen. Sie erlauben es, durch zahlreiche Anfragen beim Server und durch Auswertung der Fehlermeldungen die Verschlüsselung zu knacken, wodurch auf sensible Daten zugegriffen werden kann, beispielsweise die auf dem Server lagernde Konfigurationsdatei web.config.

In einem Weblog-Beitrag beschreibt Microsoft, wie sich verwundbare ASP.NET-Anwendungen aufspüren und per Workaround absichern lassen. Dafür muss customErrors so konfiguriert werden, dass unabhängig vom Fehler stets dieselbe Fehlerseite zurückgeliefert wird. Anhand der Fehlermeldungen lässt sich auch herausbekommen, ob die eigene Website bereits attackiert wurden, denn müssten tausende oder zehntausende HTTP-Antworten mit den Fehlercodes 500 und 404 ausgeliefert worden sein. Laut einem weiteren Weblog-Eintrag lassen sich diese Anfragen auch durch das Feature Dynamic IP Restrictions des IIS blocken, das üblicherweise genutzt wird, um DoS-Attacken zu unterbinden.