Hackers springen op webserverlek Microsoft
Gepubliceerd: Woensdag 22 september 2010
Auteur: Chris Broesder
Microsoft waarschuwt dat er misbruik wordt gemaakt van het encryptielek in zijn websoftware ASP.NET. Dit kan toegang geven tot onder meer wachtwoordbestanden en online banking gegevens.
Het lek is vorige week bekend gemaakt door security-onderzoekers Thai Duong en Juliano Rizzo. Zij hadden al het vermoeden dat deze kwetsbaarheid grote gevolgen kon hebben.
Gebruik en gemak
Die vrees is gebaseerd op het feit dat 25 procent van alle webapplicaties is gebaseerd op Microsofts ASP.NET en het relatieve gemak van succesvol misbruik van dit lek. Een aanvaller kan gegarandeerd binnen een maximum van 50 minuten binnendringen. Gemiddeld ligt de inbraaktijd op 30 minuten.
Microsoft geeft in een blogpost aan dat het lek nu daadwerkelijk misbruikt wordt. De kwetsbaarheid wordt 'in the wild' uitgebuit. Het misbruik is echter op dit moment nog beperkt, stelt Microsoft. De Security Advisory over dit lek is ook geüpdate met die informatie.
'Stil houden'
Microsoft geeft in de blogpost ook aan niet blij te zijn met de openbaarmaking van lekken als deze. Het bedrijf spoort aan om dit soort informatie gecoördineerd naar buiten te brengen. Daarmee doelt de softwareproducent op zijn nieuwe initiatief om beveiligingslekken in software te melden aan de producent en die dan samen voor een bepaalde tijd stil te houden.
De geschiedenis heeft volgens Microsoft namelijk aangetoond dat de kans op uitbuiting van een lek gigantisch omhoog schieten wanneer details erover publiekelijk bekend worden. Het bedrijf was duidelijk niet bepaald ingenomen met de onthullingen van Duong en Rizzo.
Halve fix
Microsoft heeft al een tijdelijke oplossing uitgebracht voor dit lek in het .NET framework. Die workaround dekt het gat echter niet af, maar maakt succesvol misbruik moeilijker. Wanneer er een volwaardige patch komt, is nog niet bekend. De eerstvolgende reguliere patchronde van Microsoft (Patch Tuesday) is op 12 oktober 2010.
