Microsoft biedt halve fix voor encryptielek

door

slot

door

Nieuws - Microsoft heeft een workaround naar buiten gebracht voor een encryptielek in ASP.NET. Het is voldoende om voor iedere fout dezelfde persoonlijke foutmelding in te stellen.

Met het lek, dat vorige week openbaar werd gemaakt door twee onderzoekers, is het mogelijk om persoonlijke informatie uit cookies te halen door de encryptie te kraken. Microsoft heeft nu zelf uitleg gegeven over het lek. Het bedrijf kan nog geen patch bieden, maar heeft wel een workaround bedacht.

Juiste informatie

Volgens Microsoft biedt het instellen van persoonlijke foutmeldingen in ASP.NET bescherming tegen het probleem. Het script dat de onderzoekers hebben geschreven kijkt namelijk naar foutmeldingen die de server teruggeeft. Op die standaardmeldingen baseert de tool van de onderzoekers de encryptiesleutel.

Als een beheerder voor iedere fout dezelfde melding instelt, wordt het moeilijker om met een script te bepalen of de server de juiste informatie lekt.

Hoewel de onderzoekers tijdens de presentatie van hun vondst alleen repten over een lek in de AES-encryptie van ASP.NET, zijn volgens Microsoft zelf meerdere encrypties vatbaar. Serverbeheerders die een encryptie als 3DES of MARS hebben ingesteld zijn ook niet veilig. Ook deze versleutelingen zijn te kraken met het tooltje van de onderzoekers.

In het wild

Het lek in ASP.NET werd vorige week gepresenteerd door de beveiligingsonderzoekers Juliano Rizzo en Thai Duong. Zij toonden aan dat het mogelijk is om de encryptie te achterhalen door foute sleutels naar de server te sturen. Bij iedere sleutel geeft de ASP.NET server standaard een foutcode terug. Uiteindelijk is het mogelijk om door middel van die foutcodes de volledige encryptiesleutel te achterhalen.

Volgens Microsoft is het lek nog niet ‘in het wild’ misbruikt.

eerst ▾ Reacties

De reacties worden ingeladen...

Insider naam

 
{$quantity}%

Mijn insider overzicht Uitloggen

Briefcase({$quantity}) Mijn Downloads({$quantity})

Word insider

  • Exclusieve content
  • Achtergrond verhalen
  • Praktische tips

Topbedrijven met ICT vacatures

Webwereld nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox.