Het probleem zit hem in de manier waarop het web framework ASP.NET van Microsoft de AES encryptie implementeert om de integriteit van de cookies die de applicaties genereren te waarborgen. De bug komt uitgebreid aan bod op de Ekoparty conferentie in Argentinië.

Krak

Thai Duong en Juliano Rizzo zijn de onderzoekers die het probleem hebben ontdekt. Ze weten al een aantal maanden van de zwakke plek in ASP.NET, maar zagen een paar weken geleden pas in dat hoe ernstig hun vinding in potentie kan zijn. “Het verwoest in één klap de hele beveiliging van ASP.NET”, volgens de onderzoekers. Als de encryptie gekraakt is, kraakt het meestal goed.

Duong en Rizzo hebben ook al een tool gemaakt voor de aanval, genaamd POET. Dat staat voor Padding Oracle Exploit Tool, naar de naam van de kwetsbaarheid. Dit heeft niets met het bedrijf Oracle te maken voor de duidelijkheid.

Oude school

De aanval is een variatie op een techniek die op z’n laatst al in 2002 bestond. Het probleem met de manier waarop ASP.NET AES encryptie implementeert, is hoe het met fouten omgaat. Wanneer de kwetsbare applicatie in kwestie een fout genereert, spuugt het een brokje informatie terug naar de aanvaller waarmee deze een kijkje in de keuken van het encryptieproces krijgt. Des te meer fouten, des te meer data krijgt de hacker. Bij genoeg van deze errors kan de slechterik vervolgens genoeg bytes verzamelen om de sleutel te achterhalen via een proces van uitsluiting.

Populair

Zo kan de aanvaller dus cookies ‘sniffen’ en die kunnen gevoelige informatie bevatten waaronder online banking gegevens. Het probleem met de bug, is dat wanneer de hacker eraan begint, hij een 100% slagingskans heeft. De enige variabele is dat het de ene keer langer duurt de andere. Het kan echter ook in seconden. De gemiddelde tijd dat de aanvaller erover doet om een webapplicatie te kraken is 30 minuten en ten langste is hij 50 minuten kwijt. Een hacker met gemiddelde vaardigheden kan de hack uitvoeren volgens de onderzoekers, ondanks de complexiteit van de aanval.

Het ASP.NET framework is erg populair, waardoor de kwetsbaarheid er een is om in de gaten te houden. Ongeveer 25% van alle webapplicaties zijn gebouwd met ASP.NET en zakelijk is dat aantal nog veel groter. Met name applicaties van banken zijn geschoeid op de leest van het ASP.NET framework.

Bron: Techworld