Het probleem zit hem in de manier waarop het web framework ASP.NET van Microsoft de AES-encryptie implementeert. Die versleuteling dient om de integriteit te waarborgen van de cookies die de webapplicaties genereren. De exploit die zwakke plek in de AES-implementatie uitbuit, komt uitgebreid aan bod op de Ekoparty conferentie in Argentinië.

Beveiliging onderuit

Thai Duong en Juliano Rizzo zijn de onderzoekers die het probleem hebben ontdekt. Ze weten al een aantal maanden van de zwakke plek in ASP.NET, maar zagen een paar weken geleden pas in hoe ernstig hun vondst in potentie kan zijn. “Het verwoest in één klap de hele beveiliging van ASP.NET”, stellen de onderzoekers.

De twee security-experts hebben ook al een tool gemaakt om via dit lek een aanval uit te voeren. De tool heet POET, wat staat voor Padding Oracle Exploit Tool en wat verwijst naar de naam van de kwetsbaarheid. Dit heeft overigens niets met softwareleverancier Oracle te maken, voor de duidelijkheid.

Al sinds 2002

De aanval is een variatie op een techniek die zeker al in 2002 bestond. Het probleem met de manier waarop ASP.NET de AES-encryptie implementeert, zit in de omgang met fouten. Wanneer de kwetsbare applicatie in kwestie een fout genereert, geeft het een brokje informatie terug aan de aanvaller.

Die krijgt daarmee een kijkje in de keuken van het encryptieproces. Des te meer fouten, des te meer data de hacker krijgt. Bij genoeg van deze errors kan de aanvallers vervolgens genoeg bytes verzamelen om de encryptiesleutel te achterhalen via een proces van uitsluiting.

Zo kan de aanvaller dus cookies ‘sniffen’ en die kunnen gevoelige informatie bevatten, zoals gegevens voor online-bankieren. Dit lek is ernstig doordat een aanvaller die zich hierop stort een 100% slagingskans heeft om het succesvol uit te buiten. De enige variabele is dat een aanval de ene keer langer duurt de andere.

In gemiddeld 30 minuten

Het achterhalen van de encryptiesleutel kan in het ergste geval al binnen enkele seconden. De gemiddelde tijd dat een aanvaller erover doet om een webapplicatie te kraken is 30 minuten. Ten langste is hij 50 minuten kwijt. Volgens de ontdekkers kan een hacker met gemiddelde vaardigheden deze aanval al uitvoeren. Dit ondanks de complexiteit van de aanval.

Het ASP.NET framework is veelgebruikt, waardoor de kwetsbaarheid er een is om in de gaten te houden. Ongeveer 25% van alle webapplicaties is gebouwd met ASP.NET. Met name applicaties van banken zijn geschoeid op de leest van het ASP.NET framework.