ASP.NET 惊爆新安全漏洞 攻击者可访问任意文件

微软安全响应中心19日中午发布最新安全预警, 提醒广大ASP.NET用户防范一处新安全漏洞. 攻击者可利用存在于ASP.NET加密模块的一处最新漏洞访问到包括web.config在内的任何文件. 此漏洞存在于ASP.NET所有已发布的版本中, 其影响程度不容小视. 目前尚无补丁发布. 请广大开发和维护人员加强防范.

据悉, ASP.Net 加密模块中新公开的漏洞可使攻击者解密并篡改任意加密数据。 如果 ASP.Net 应用程序使用的是 ASP.Net 3.5 SP1 或更高版本，攻击者可以使用此加密漏洞请求 ASP.Net 应用程序中的任意文件的内容。 网络上一些已流传开的攻击案例显示出攻击者可以利用该加密漏洞获取 web.config 文件的内容。 实际上一旦攻击者获取了web应用程序worker process的访问权限, 他即有权访问的应用程序中的任意文件。

对ASP.NET的最新安全漏洞进一步跟进说明

今天看见了关于ASP.NET的安全漏洞，内容大致是：黑客可以下载ASP.NET网站的核心文件（WEB.CONFIG），我估计还可以下载任意文件，例如数据库。

这个BUG基本上是致命的，可是博客园的描述却非常的少，我看了半天也没有明白什么意思，如何攻击，于是挖掘下去。现在把一些明细写出来。

黑客如何发起攻击

大致意思是关于 cryptographic oracle. 黑客通过不断重复发送信息，检测返回的错误信息，然后了解加密算法，最后实现攻击。可是这段话还是没有明白，于是继续搜索：

2个研究员发现，通过一个工具，能够 修改被AES加密过的 ASP.NET窗体验证cookie；然后检查返回错误信息；获取Machine Key。这个过程100%成功而且只需要30分钟。

一旦machine key被破解出来了，黑客就能够模拟出验证 cookie。如果网站设计者启动了选项，让安全信息放入 security cookie，那么攻击者就能够获取了 管理员权限。 包含的影响范围包括：membership provider, viewstate, 保存在security cookie里面的所有信息。

这个bug源于AES加密算法中的一个bug。因此解决方案就是：使用DES（后来被验证是错误的解决方案）。

小结

问题的关键字包括：

大概意思就是，启动了asp.net的验证，并且启动了使用AES加密算法保存敏感信息在验证框架的cookie中后，黑客能够获取machinekey，然后获得管理员权限。

现在问题就是，具体是asp.net中什么操作、部署、框架会受到这个影响。于是我进一步搜索。

攻击方式：padded oracle attack

具体我没有太明白，也不知道和oracle是什么关系。不过有个回复说的比较详细：

大致意思是，这个问题不仅仅存在在asp.net,而且还有java等。技术上，如果使用了asp.net的默认配置，是不需要担心的（所谓默认配置，就是新建一个asp.net项目的配置，没有做任何修改）。

窗体验证：Asp.net Form Authentication:

浏览了很多页面，浪费了1个小时，终于有点头绪。

问题在于如果用户使用了微软提供的窗体验证框架，就会出现安全漏洞，被黑客破解了保存安全信息的算法（machine key）, 然后获取了管理员权限，下载服务器的文件。

如果整个权限框架是自己写的，那么就不需要担心了。