banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thông tin new bugs và exploits Lỗi zero-day của ASP.NET  XML
  [Announcement]   Lỗi zero-day của ASP.NET 28/09/2010 14:45:48 (+0700) | #31 | 221700
[Avatar]
K4i
Moderator

Joined: 18/04/2006 09:32:13
Messages: 635
Location: Underground
Offline
[Profile] [PM]
Trong workaround của M$ cũng chỉ có nói đến việc giảm thiểu chứ không thể giải quyết được vấn đề.


Workaround refers to a setting or configuration change that does not correct the underlying issue but would help block known attack vectors before you apply the update. Microsoft has tested the following workarounds and states in the discussion whether a workaround reduces functionality:
 


Vì vậy tốt nhất là nên nín thở chờ bản vá smilie

Lỗi này được xếp vào dạng Information Disclosure nên không được đánh giá ở mức critical thì phải?
Sống là để không chết chứ không phải để trở thành anh hùng
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 28/09/2010 14:57:38 (+0700) | #32 | 221701
thanhbien
Member

[Minus]    0    [Plus]
Joined: 26/06/2008 11:52:30
Messages: 4
Offline
[Profile] [PM]
Nói chung là các quản trị cần cập nhật bản vá ngay khi MS đưa ra vì phương pháp tấn công đã bị công bố rồi.

MS chỉ đặt mức critical khi lỗi đó là remote code execution thôi. Việc ra out of band, không phải vì mức độ nguy hiểm của lỗi đó, mà vì cách thức tấn công đã bị disclosure và đã có các cuộc tấn công dựa vào lỗ hổng đó được ghi nhận.

Vì vậy việc cảnh báo lỗ hổng bằng cách công bố rộng rãi mã khai thác/phương thức tấn công sẽ khiến nhà sản xuất buộc phải fix sớm hơn smilie, nhưng cũng đặt ra cho các hệ thống nguy cơ bị tấn công cao hơn smilie

Đọc trên CNET thì thấy có n3d3v đang khuyên MS nên kiện những người ful disclosure lỗi smilie

http://news.cnet.com/8301-27080_3-20017781-245.html

[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 28/09/2010 15:35:21 (+0700) | #33 | 221703
[Avatar]
WinDak
Researcher

Joined: 27/01/2002 11:15:00
Messages: 223
Offline
[Profile] [PM]

mrro wrote:
slide trình bày tại EKOPARTY: http://netifera.com/research/poet//PaddingOraclesEverywhereEkoparty2010.pdf

-m  


Thanks anh mrro, slide rất hay và tương đối dễ hiểu...

Em muốn hỏi về vấn đề P[0] và IV trong trường hợp CAPTCHA anh giải quyết thế nào ? Brute-force ? ( nếu có tài liệu nào more detail cho em xin đọc cái smilie ).

Không biết anh mrro có định mở 1 topic riêng thảo luận về PO với CBC-R không ?



-- w~ --
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 28/09/2010 15:57:27 (+0700) | #34 | 221704
mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
@Windak: nếu em tìm hiểu mã nguồn của .NET, và thấy được chỗ bị lỗi thì em sẽ thấy là chỉ cần brute-force 2 byte là sẽ nhảy vào được đoạn mã để lấy key.

thiệt ra 2 tuần vừa rồi đám MS và nhiều người khác đã tìm hiểu và công bố khá nhiều thông tin về vấn đề này, nên em cũng chẳng cần đọc mã nguồn nhiều làm gì, tìm lòng vòng trên Internet sẽ thấy thông tin. ví dụ như http://eglasius.blogspot.com/2010/09/aspnet-padding-oracle-how-it-relates-to.html

về PO với CBC-R thì anh có nói từ khá lâu đây là kỹ thuật rất hay, và cũng là đóng góp lớn nhất của báo cáo Practical Padding Oracle Attacks, dẫu vậy cho đến giờ vẫn chưa thấy ai nói gì đến nó :-p. nên nếu em muốn hỏi hay thảo luận gì thêm thì cứ qua cái topic về POET mà hỏi nha. tài liệu về CBC-R thì em đọc trong báo cáo kia là đủ (chọn đọc phiên bản trình bày ở USENIX cho dễ). trong đó tụi anh mô tả rất rõ những ý tưởng chính của CBC-R.

cái hay nhất của tấn công ASP.NET nằm ở những kỹ thuật tối ưu hóa CBC-R, mà hiện giờ tụi anh chưa công bố ra ngoài. dẫu vậy nếu em nhào vào thử tấn công ASP.NET bằng CBC-R, em sẽ thấy vấn đề, và có thể em sẽ biết cách tối ưu. anh nghĩ nó cũng là cách tốt để hiểu CBC-R.

@thanhbien: mã tấn công và phương pháp thực hiện chưa bao giờ được công bố rộng rãi cả.

-m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 29/09/2010 06:00:54 (+0700) | #35 | 221738
mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
đã có patch. còn đây là video dành cho bạn nào chưa muốn patch smilie

http://www.youtube.com/watch?v=mP6mKLh1FBw

-m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 29/09/2010 08:32:51 (+0700) | #36 | 221750
[Avatar]
K4i
Moderator

Joined: 18/04/2006 09:32:13
Messages: 635
Location: Underground
Offline
[Profile] [PM]
Bản Patch hiện tại chưa có trên Windows Update hay WSUS. Ai cần chơi ngay thì tự xử bằng tay nhé.

http://www.microsoft.com/technet/security/bulletin/MS10-070.mspx
Sống là để không chết chứ không phải để trở thành anh hùng
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 29/09/2010 20:40:38 (+0700) | #37 | 221794
[Avatar]
demingcycle
Member

[Minus]    0    [Plus]
Joined: 13/01/2009 23:07:41
Messages: 36
Offline
[Profile] [PM]
Tôi nghĩ anh mrro nên có bài viết tổng kết về vấn đề này. Viết càng dễ hiểu càng tốt.

Thank you in advance.
Liệu khi Con Người đến, lòng tin trên cuộc đời này có còn nữa không?
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 30/09/2010 22:34:51 (+0700) | #38 | 221880
Kujuna
Member

[Minus]    0    [Plus]
Joined: 28/02/2010 20:35:21
Messages: 6
Offline
[Profile] [PM]
Anh Dương Ngọc Thái, niềm tự hào của nền IT VN.
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 02/10/2010 08:01:30 (+0700) | #39 | 221959
mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
Video quay lại buổi thuyết trình ở EKOPARTY: http://vimeo.com/15454510. Đoạn nói về ASP.NET bằng tiếng Anh bắt đầu ở phút thứ 26.

-m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 02/10/2010 10:22:11 (+0700) | #40 | 221971
[Avatar]
holiganvn
Member

[Minus]    0    [Plus]
Joined: 08/05/2009 19:29:45
Messages: 370
Location: Cố Đô Huế
Offline
[Profile] [PM]
hình như có patch chính thức rồi nè các bác:

http://www.microsoft.com/technet/security/bulletin/MS10-070.mspx
HaCk t0 LeArN,N0t LeArN t0 HaCk
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 03/10/2010 18:51:10 (+0700) | #41 | 222058
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]

mrro wrote:
Video quay lại buổi thuyết trình ở EKOPARTY: http://vimeo.com/15454510. Đoạn nói về ASP.NET bằng tiếng Anh bắt đầu ở phút thứ 26.

-m  

hi mrro có lý do gì về việc Juliano Rizzo mặc áo cờ việt nam không thế smilie
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 08/10/2010 13:40:00 (+0700) | #42 | 222379
[Avatar]
vuongphong
Member

[Minus]    0    [Plus]
Joined: 02/06/2010 10:34:16
Messages: 24
Location: sách
Offline
[Profile] [PM]
em mới thấy cái này : http://www.exploit-db.com/exploits/15213/
just climb, even slowly, you can reach the peak
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 11/10/2010 17:36:18 (+0700) | #43 | 222612
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

vuongphong wrote:
em mới thấy cái này : http://www.exploit-db.com/exploits/15213/ 


Đây chỉ là exploit code để download "root web.config file" trong ASP.net khi một website được thiết kế sử dung ASP.net
=============


Việc phát hiện ra lỗi của Microsoft, lỗi ASP.NET Padding oracle vulnerability, đang là một chủ đề nóng được bàn nhiều trên mạng trong thời gian qua. Đây là một lỗi quan trọng (trong một số trường hợp có thể coi là nghiêm trọng -critical). Microsoft đã phải cố gắng để đưa ra bản vá lỗi này trong một thời gian ngắn nhất có thể. Bản vá đã có trên mạng, như chúng ta đã thấy.
Thế giới đã ghi nhận công trạng và đóng góp của các researchers là Thai Duong (mrro) và Juliano Rizzo (Achentina).
Lỗi này đã nhanh chóng được xác nhận trong các tài liệu chính thức của các cơ quan bảo mật quốc tế nổi tiếng, lỗi mang ký hiệu là BID:43316 trong tài liệu của Securityfocus, SECTRACK:1024459 của Securitytracker, SECUNIA:41409 của Secunia,(61898) của x-force... và quan trọng nhất là CVE-2010-3332 của National Vulnerability Database (NVD) (Mỹ).

HVA chúng ta rất tự hào về thành tựu này của mrro, một thành viên, Admin của HVA.

Tuy nhiên để hiểu rõ nội dung của lỗi có tên là ASP.NET Padding oracle vulnerability mà mrro phát hiện ra, đánh giá đúng công trạng của những người tìm ra, chúng ta cần tìm hiểu sâu một loạt vấn đề, thí dụ:

- Hiểu kỹ về ASP.net (không phải là ASP như có người nói)
- Hiểu về Microsoft.Net Framework
- Mối quan hệ giữa ASP.net và IIS
- Cách Authentication thường dùng khi đăng nhập mà ASP.net áp dụng (Đăng nhập qua Windows , hay ở dang Form, hay Passport?)
- Cơ chế quá trình xác thưc đăng nhập trong ASP.net
- Cách thức các researchers đưa vào các padding (ciphertext) để yêu cầu cơ cấu xác thực của ASP.net (đóng vai trò một oracle) trả lời với môt http error code nào đó
- Cách thức researchers tìm ra các thông tin quan trọng của user được mã hoá (dưới dạng MD5, SHA1...)
- ... vân vân
Nếu có thời gian tôi sẽ viết một bài về các vấn đề trên. Tuy rằng nếu mrro viết thì chính xác và hay hơn nhiều. Nhưng có thể mrro đang bận

===
Be noted : Trong cụm từ này: "ASP.NET Padding oracle vulnerability" thì oracle nên viết thường, không nên viết hoa Oracle.
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 12/10/2010 15:06:53 (+0700) | #44 | 222680
taisaothe
Member

[Minus]    0    [Plus]
Joined: 11/10/2010 21:30:56
Messages: 6
Offline
[Profile] [PM]
Nói như vậy lỗi này muốn khắc phúc thì hiện chưa thể được hả ?
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 12/10/2010 16:18:28 (+0700) | #45 | 222686
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

taisaothe wrote:
Nói như vậy lỗi này muốn khắc phúc thì hiện chưa thể được hả ? 


Microsoft đã đưa lên mạng các bản vá lỗi.

Còn muốn đánh giá là các bản ấy có khắc phục được hoàn toàn lỗi ASP.net Padding oracle hay không? Thì .... hãy... bắt đầu nghiên cứu kỹ các vấn đề tôi đã nêu ra ở post trên.

Nghiên cứu thì phải đọc tài liệu, hơn nữa phải cài thử ASP.net vào Win 2003 hay 2008..,. rôi thiết lâp một webserver, rồi bắt chiếc việc mà mrro đã làm, không thấy gì... thì hỏi mrro.

Mà nếu đọc tài liệu mà không hiểu, hay có điểm không hiểu (thí dụ padding là cái gì? oracle có nghĩa là gì? hay không hiểu gì về encryption...) thì lại phải đi hỏi mrro, hay hỏi người giỏi về các lĩnh vực ấy. Hì hì.
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 12/10/2010 21:03:31 (+0700) | #46 | 222698
[Avatar]
demingcycle
Member

[Minus]    0    [Plus]
Joined: 13/01/2009 23:07:41
Messages: 36
Offline
[Profile] [PM]

PXMMRF wrote:

Nếu có thời gian tôi sẽ viết một bài về các vấn đề trên.
 

- Hy vọng anh PXMMRF sẽ viết một bài thật dễ hiểu về các vấn đề này.

Thank you very much in advance.

Liệu khi Con Người đến, lòng tin trên cuộc đời này có còn nữa không?
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 26/10/2010 13:14:45 (+0700) | #47 | 223748
[Avatar]
chube
Member

[Minus]    0    [Plus]
Joined: 22/10/2010 02:34:04
Messages: 105
Location: ░░▒▒▓▓██
Offline
[Profile] [PM]
em cũng sắp làm đồ án web kì 3 bằng .NET, 1 kĩ thuật thú vị smilie
.-/ / )
|/ / /
/.' /
// .---.
/ .--._\ Awesome Season to hack :') Dont you think so? xD
/ `--' /
/ .---'
/ .'
/
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 31/10/2010 22:17:24 (+0700) | #48 | 224027
tokyo2002
Member

[Minus]    0    [Plus]
Joined: 03/08/2005 01:01:16
Messages: 9
Offline
[Profile] [PM]
Thật đáng tự hào cho IT Việt Nam, Xin cảm ơn!
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 22/03/2011 00:33:46 (+0700) | #49 | 233668
mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
vào hạ tuần tháng 5/2010, bọn mình sẽ trình bày ở hội thảo IEEE S&P http://www.ieee-security.org/TC/SP2011/program.html với paper "Cryptography in the Web: The Case of Cryptographic Design Flaws in ASP.NET":


This paper discusses how cryptography is misused in the security design of a large part of the Web. Our focus is on ASP.NET, the web application framework developed by Microsoft that powers 25% of all Internet web sites. We show that attackers can abuse multiple cryptographic design flaws to compromise ASP.NET web applications. We describe practical and highly efficient attacks that allow attackers to steal cryptographic secret keys and forge authentication tokens to access sensitive information. The attacks combine decryption oracles, unauthenticated encryptions, and the reuse of keys for different encryption purposes. Finally, we give some reasons why cryptography is often misused in web technologies, and recommend steps to avoid these mistakes.
 


hi hi lần này thay đổi không khí, nộp paper cho một hội thảo hàn lâm, may mắn là không những họ "không kỳ thị" mà còn ủng hộ, giúp đỡ chỉnh sửa và làm cho paper tốt lên rất nhiều. mình đang tham khảo lại cái quy định về bản quyền của bọn IEEE, nếu không có vấn đề gì thì vài ngày nữa mình sẽ gửi paper lên đây. thiệt ra thì bạn nào có hứng thú, PM cho mình, mình sẽ gửi paper.

paper này đánh dấu chặng đường hai năm của dự án nghiên cứu cách thức các kỹ thuật cryptography được sử dụng (sai) trong môi trường phát triển web. hai năm trước, cá nhân mình còn rất mù mờ về cryptography nói chung và sử dụng cryptography nói riêng. những điều mình biết chủ yếu gói gọn trong cuốn sách "Practical Cryptography" http://www.schneier.com/book-practical.html) của Niels Ferguson và Bruce Schneier. thật tế là hầu hết các tấn công mà bọn mình sử dụng trong các nghiên cứu vừa qua đều được đề cập đến trong cuốn PC. dẫu vậy, mình rút ra được điều cơ bản là đọc sách thì phải đào sâu vào những điểm mà sách đưa ra.

ví dụ như sách có nói về length-extension attack trong các hàm hash theo mô hình Merkle-Damgard nhưng không nói cụ thể về cách thức triển khai tấn công. bọn mình tò mò, tìm hiểu cách triển khai tấn công này (cũng như tìm hiểu cấu trúc của MD5 và SHA1), và "tình cờ" (như gamma95 thường nói smilie phát hiện ra có thể sử dụng phương thức này để tấn công bộ API của Flickr. hoặc như sách nói nếu xử lý padding không đúng, có thể khiến cho hệ thống bị tấn công theo phương thức "chosen-ciphertext attack" nhưng cũng không nói cụ thể thế nào, mà chỉ trích dẫn một paper khác.

cryptography không phải là một giải pháp trọn vẹn cho vấn đề security, nhưng mà cryptography là một phần của tất cả các giải pháp cho các vấn đề security. dẫu vậy, sử dụng cryptography đúng cách là không dễ và hiện giờ lập trình viên cũng không được hỗ trợ như đối với các vấn đề liên quan đến memory corruption. số lỗ hổng cryptography là rất nhiều và hầu hết là nghiêm trọng. thật tế nhắm mắt tìm trên Google các đoạn mã cryptography, thì cá nhân mình thấy phần lớn trong số đó là không an toàn. không nói chi xa, mới cách đây vài giờ, mình thấy cái link này trên Twitter http://nenolod.net/~nenolod/sholes-keyleak-explained.html.

theo quan sát của mình thì hiện giờ trong cộng đồng security ở VN cũng như nước ngoài, có rất ít người tập trung vào đề tài đánh giá việc sử dụng cryptography đúng cách trong các phần mềm thương mại. đây là một cơ hội cho bạn nào muốn làm nghiên cứu trong mảng đề tài an ninh ứng dụng. ngoài an ninh ứng dụng ra, thì có thể kết hợp cryptography và hardware reverse engineering để nghiên cứu cách cryptography được sử dụng trong các thiết bị điện tử cá nhân như đầu đọc sách, đồ chơi, điện thoại hoặc các loại smartcard như thẻ thanh toán. đây cũng là lĩnh vực còn ít người làm và còn nhiều cái để làm. sắp tới mình cũng sẽ đi theo hướng đó.

-m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 22/03/2011 01:39:53 (+0700) | #50 | 233669
StarGhost
Elite Member

[Minus]    0    [Plus]
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
[Profile] [PM]
Wow, mrro có paper accepted ở Oakland (world best security conference). Không còn gì để nói, xin chúc mừng. Clap clap.
Mind your thought.
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 20/09/2011 23:25:19 (+0700) | #51 | 247468
[Avatar]
chiro8x
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline
[Profile] [PM] [Yahoo!]

mrro wrote:
@LeVuHoang: hiện giờ theo thoả thuận với MS thì mình không có cung cấp thông tin đó được. Dẫu vậy mình có PM cho bạn một cái video chứng minh là workaround của MS không chặn được POET.

@ITvh: mình cũng ngạc nhiên là Microsoft xếp là Important nhưng lại đưa ra Out Of Band patch. Có lẽ do cái này không trực tiếp là remote code execution, nhưng do mức độ ảnh hưởng lớn nên họ bắt buộc phải đưa ra OOB patch.

Lời khuyên là nên cài bảng vá này ngay khi nó ra.

-m  


Chờ đợi và thất vọng chút xíu. Dù sao 1 người không thể tìm kiếm lỗi đó cũng muốn chiêm ngưỡng 1 lần nhưng có vẽ là lần này không được rồi. Những cái lỗi 0-day này thực sự để lộ ra thì chỉ thoả mản trí tò mò, và mang lại nhiều rắc rối.
while(1){}
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 19/02/2012 12:04:59 (+0700) | #52 | 254476
linuxdoanpham
Member

[Minus]    0    [Plus]
Joined: 15/08/2011 20:32:47
Messages: 5
Offline
[Profile] [PM]
mong bạn sẽ có bản vá sớm để trách mất mất dữ liệu .
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 14/05/2012 20:10:51 (+0700) | #53 | 263158
[Avatar]
anh.thecit
Member

[Minus]    0    [Plus]
Joined: 04/04/2012 12:33:40
Messages: 1
Offline
[Profile] [PM] [Yahoo!]
mấy bữa mình cũng có gặp phải lồi này
864100
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|