Microsoft ha pubblicato da qualche ora le patch, destinate alle varie versione del .Net framework, che consentono di risolvere una pericolosa vulnerabilità, sfruttabile da parte di malintenzionati per raccogliere dati personali ed informazioni sensibili da utilizzare per la violazione di un’applicazione web o di un intero server.
La lacuna di sicurezza è insita nell’implementazione degli algoritmi crittografici utilizzati da ASP.NET: a seconda della specifica applicazione web presa di mira da un aggressore, quest’ultimo potrebbe essere in grado di leggere nomi utente e password conservati nell’oggetto “ViewState” oppure richiedere la lettura del contenuto di file arbitrari, con tutte le spiacevoli conseguenze che ne possono derivare. In questo articolo abbiamo illustrato il problema in modo più approfondito spiegando come ASP.NET funga, purtroppo, da “padding oracle“: un aggressore, cioè, può inviare del testo cifrato al server e stabilire se è stato decodificato in modo corretto esaminando il codice d’errore restituito dallo stesso server. Inviando migliaia di richieste, lo stesso malintenzionato può così raccogliere sufficienti elementi per decifrare tutti i messaggi scambiati.
Il colosso di Redmond ha quindi deciso di pubblicare un aggiornamento risolutivo (bollettino MS10-070) con largo anticipo rispetto al prossimo “patch day“, fissato per il 12 ottobre.
Per la prima volta nella sua storia, l’aggiornamento non stato per il momento messo a disposizione di tutti gli utenti. Premesso che, ovviamente, la patch non interessa gli utenti finali (a meno che non si sia installato il server web di Microsoft, IIS), i tecnici della società guidata da Steve Ballmer hanno preferito, vista la natura della problematica da sanare, anticipare i tempi distribuendo la patch per ora solo attraverso il sito “Download center“. Gli interessati (grandi aziende, provider Internet, amministratori di sistema,…) possono prelevare manualmente le patch collegandosi con questa pagina e selezionando i pacchetti d’interesse.
Come si vede, la vulnerabilità interessa trasversalmente tutte le versioni di Windows e tutte le versioni del framework .Net (1.1, 2.0, 3.5, 4.0).
Feliciano Intini, responsabile dei programmi di sicurezza e privacy di Microsoft Italia, rivela (ved. questa pagina) che l’aggiornamento MS10-070, oggi pubblicato sul “Download center” di Microsoft, verrà reso disponibile attraverso i tradizionali canali (Windows Update, funzionalità “Aggiornamenti automatici” e così via) nel giro di 2 o 3 giorni.
Gli esperti sono d’accordo sull’approccio utilizzato da Microsoft per la distribuzione della patch MS10-070: “Le realtà affette dalla problematica relativa ad ASP.NET (grandi aziende ed ISP in primis) probabilmente non utilizzato affatto servizi come Windows Update“, ha osservato Andrew Storms, direttore di nCircle Security. “Queste scoietà hanno di solito protocolli di testing piuttosto severi“.
E’ d’accordo anche Wolfgang Kandek, CTO di Qualys, che ricorda come gli utenti finali non siano generalmente esposti a rischi di attacco nel caso della vulnerabilità ASP.NET di recente scoperta. Sia Kandek che Storms hanno poi apprezzato la “reattività” di Microsoft nel rilasciare un aggiornamento: sono trascorsi infatti appena 11 giorni dalla divulgazione dei primi dettagli sulla falla di sicurezza.
Intini ricorda che l’applicazione delle patch non implica la rimozione dei “workaround” eventualmente adottati nei giorni scorsi (attivazione degli “errori personalizzati” ed abilitazione di URLScan; ved. questo articolo). Tali misure temporanee possono essere rimosse anche successivamente dal momento che, una volta installi gli aggiornamenti correttivi, non sono più necessarie.