Inicio / Alerta Temprana / Avisos Seguridad / Microsoft publica parche de seguridad fuera de su ciclo habitual para ASP.NET

Microsoft publica parche de seguridad fuera de su ciclo habitual para ASP.NET

Fecha de publicación: 
29/09/2010
Importancia: 
4 - Alta
Recursos afectados: 

Puede consultarse la lista de software vulnerable desde la página oficial de Microsoft (Security Advisory 2416728)

Descripción: 

Microsoft ha publicado un parche para solucionar la vulnerabilidad "0day" que afecta a ASP.NET. Esta actualización de seguridad ha sido categorizada como importante para todas las ediciones compatibles de Microsoft ASP.NET excepto para NET Framework 1.0 Service Pack 3.

Solución: 

Instalar la actualización publicada en el resumen del boletín fuera de ciclo de Microsoft. En el boletín de seguridad se trata todo lo relativo a la actualización, por lo que se recomienda a los administradores consultarlo y probarlo para evitar posibles efectos adversos.

En muchos casos, siempre que se encuentre activado el servicio, las actualizaciones se realizarán de forma automática.

Detalle: 

Microsoft ha publicado una actualización de seguridad fuera de ciclo para solventar la vulnerabilidad que afectaba a ASP.NET (CVE-2010-3332) y que ya estaba siendo aprovechada por terceros para obtener información sensible de servidores que usan dicha tecnología. Un atacante puede aprovechar esta vulnerabilidad para obtener datos, como el View State (el cual es cifrado por el server destino), u obtener ficheros del servidor como el web.config (archivo de configuración principal para aplicaciones web en ASP.NET).

La vulnerabilidad reside en el API de cifrado de ASP.NET que no autentica correctamente los mensajes, por lo que usando ataques de tipo "oracle" (mecanismo dentro del sistema de cifrado encargado de proporcionar respuestas válidas o inválidas para un texto cifrado dado) se puede descifrar las cookies, obtener tickets de formularios de autenticación, claves de suscripción, datos del usuario. Un atacante podría entonces averiguar la passphrase, cambiar los datos cifrados y enviar el contenido modificado de nuevo al servidor (para suplantar por ejemplo al system administrator).