Met het lek, dat vorige week openbaar werd gemaakt door twee onderzoekers, is het mogelijk om persoonlijke informatie uit cookies te halen door de encryptie te kraken. Microsoft heeft nu zelf uitleg gegeven over het lek. Het bedrijf kan nog geen patch bieden, maar heeft wel een workaround bedacht.

Juiste informatie

Volgens Microsoft biedt het instellen van persoonlijke foutmeldingen in ASP.NET bescherming tegen het probleem. Het script dat de onderzoekers hebben geschreven kijkt namelijk naar foutmeldingen die de server teruggeeft. Op die standaardmeldingen baseert de tool van de onderzoekers de encryptiesleutel.

Als een beheerder voor iedere fout dezelfde melding instelt, wordt het moeilijker om met een script te bepalen of de server de juiste informatie lekt.

Hoewel de onderzoekers tijdens de presentatie van hun vondst alleen repten over een lek in de AES-encryptie van ASP.NET, zijn volgens Microsoft zelf meerdere encrypties vatbaar. Serverbeheerders die een encryptie als 3DES of MARS hebben ingesteld zijn ook niet veilig. Ook deze versleutelingen zijn te kraken met het tooltje van de onderzoekers.

In het wild

Het lek in ASP.NET werd vorige week gepresenteerd door de beveiligingsonderzoekers Juliano Rizzo en Thai Duong. Zij toonden aan dat het mogelijk is om de encryptie te achterhalen door foute sleutels naar de server te sturen. Bij iedere sleutel geeft de ASP.NET server standaard een foutcode terug. Uiteindelijk is het mogelijk om door middel van die foutcodes de volledige encryptiesleutel te achterhalen.

Volgens Microsoft is het lek nog niet ‘in het wild’ misbruikt.