Vorige week werd er een zero-day beveiligingslek in ASP.NET bekendgemaakt, tot grote onvrede van Microsoft. ASP.Net gebruikt encryptie om gevoelige gegevens te verbergen en tegen manipulatie door de client te beschermen. De kwetsbaarheid, die tijdens de Ekoparty conferentie in Argentinië werd gedemonstreerd, maakt het mogelijk voor een aanvaller om deze gegevens te ontsleutelen en aan te passen, aldus een advisory van Microsoft.

De kwetsbaarheid wordt veroorzaakt door de manier waarop ASP.NET omgaat met fouten als de versleutelde data in een cookie is aangepast. Als de ciphertext is aangepast, genereert de kwetsbare applicatie een foutmelding, waarmee een aanvaller kan zien hoe de decryptie van de applicatie werkt. Hoe meer fouten, hoe meer gegevens de aanvaller in handen krijgt, totdat hij genoeg bytes heeft om de encryptiesleutel te raden.

Oplossing
Het lek is in alle versies van het .NET Framework aanwezig, wat betekent dat miljoenen webapplicaties risico lopen. Volgens de softwaregigant zijn er op dit moment echter nog geen gevallen van misbruik bekend. Microsoft heeft inmiddels een workaround online geplaatst en een manier om kwetsbare applicaties te vinden.

Echt blij met de publicatie is de softwaregigant niet. "We blijven beveiligingsonderzoekers aanmoedigen om het rapporteren van lekken met softwareleveranciers te coördineren. We denken dat publieke disclosure voordat er een uitgebreide update kan worden geproduceerd, alleen maar zorgt dat klanten door criminele activiteiten risico lopen", aldus Jerry Bryant van het Microsoft Security Respons Center.

"We vragen de industrie in principe om een Coordinated Vulnerability Disclosure te volgen en zijn daarom geen voorstander van het publiek bekendmaken van kwetsbaarheden, aangezien dit de industrie onnodig in gevaar brengt", voegt beveiligingschef Roger Halbheer toe.