<![CDATA[Latest posts for the topic "Lỗi zero-day của ASP.NET "]]> /hvaonline/posts/list/13.html JForum - http://www.jforum.net Lỗi zero-day của ASP.NET

http://www.ekoparty.org/eng/thai-duong-2010.php wrote:
Finally we demonstrate the attacks against real world applications. We use the Padding Oracle attack to decrypt data and use CBC-R to encrypt our modifications. Then we abuse components present in every ASP.NET installation to forge authentication tickets and access applications with administration rights. The vulnerabilities exploited affect the framework used by 25% of the Internet websites.The impact of the attack depends on the applications installed on the server, from information disclosure to total system compromise.  
Vài bữa nữa sẽ có video trình diễn. Theo tôi quan sát thì có khá nhiều web site ở VN cũng như trên thế giới bị ảnh hưởng bởi lỗ hổng này. Bạn nào có sử dụng công nghệ này thì nên chú ý theo dõi. -m ]]>
/hvaonline/posts/list/35832.html#220402 /hvaonline/posts/list/35832.html#220402 GMT
Lỗi zero-day của ASP.NET /hvaonline/posts/list/35832.html#220410 /hvaonline/posts/list/35832.html#220410 GMT Lỗi zero-day của ASP.NET /hvaonline/posts/list/35832.html#220414 /hvaonline/posts/list/35832.html#220414 GMT Lỗi zero-day của ASP.NET /hvaonline/posts/list/35832.html#220417 /hvaonline/posts/list/35832.html#220417 GMT Lỗi zero-day của ASP.NET /hvaonline/posts/list/35832.html#220442 /hvaonline/posts/list/35832.html#220442 GMT Lỗi zero-day của ASP.NET /hvaonline/posts/list/35832.html#220455 /hvaonline/posts/list/35832.html#220455 GMT Lỗi zero-day của ASP.NET /hvaonline/posts/list/35832.html#220475 /hvaonline/posts/list/35832.html#220475 GMT Lỗi zero-day của ASP.NET /hvaonline/posts/list/35832.html#220500 /hvaonline/posts/list/35832.html#220500 GMT Lỗi zero-day của ASP.NET /hvaonline/posts/list/35832.html#220518 /hvaonline/posts/list/35832.html#220518 GMT Lỗi zero-day của ASP.NET /hvaonline/posts/list/35832.html#220572 /hvaonline/posts/list/35832.html#220572 GMT Lỗi zero-day của ASP.NET

Dennish Fisher wrote:
A pair of security researchers have implemented an attack that exploits the way that ASP.NET Web applications handle encrypted session cookies, a weakness that could enable an attacker to hijack users' online banking sessions and cause other severe problems in vulnerable applications. Experts say that the bug, which will be discussed in detail at the Ekoparty conference in Argentina this week, affects millions of Web applications. The problem lies in the way that ASP.NET, Microsoft's popular Web framework, implements the AES encryption algorithm to protect the integrity of the cookies these applications generate to store information during user sessions. A common mistake is to assume that encryption protects the cookies from tampering so that if any data in the cookie is modified, the cookie will not decrypt correctly. However, there are a lot of ways to make mistakes in crypto implementations, and when crypto breaks, it usually breaks badly. "We knew ASP.NET was vulnerable to our attack several months ago, but we didn't know how serious it is until a couple of weeks ago. It turns out that the vulnerability in ASP.NET is the most critical amongst other frameworks. In short, it totally destroys ASP.NET security," said Thai Duong, who along with Juliano Rizzo, developed the attack against ASP.NET.  
Xem thêm: http://threatpost.com/en_us/blogs/new-crypto-attack-affects-millions-aspnet-apps-091310 Hiện giờ EKOPARTY chưa có kế hoạch thuyết trình chính thức, nhưng có lẽ đề tài này sẽ được trình bày vào cuối ngày thứ hai của hội thảo, tức là khoảng khuya thứ bảy giờ VN. Tôi sẽ gửi video trình diễn lên đây ngay sau hội thảo kết thúc. -m ]]>
/hvaonline/posts/list/35832.html#220639 /hvaonline/posts/list/35832.html#220639 GMT
Lỗi zero-day của ASP.NET /hvaonline/posts/list/35832.html#220757 /hvaonline/posts/list/35832.html#220757 GMT Lỗi zero-day của ASP.NET /hvaonline/posts/list/35832.html#220924 /hvaonline/posts/list/35832.html#220924 GMT Lỗi zero-day của ASP.NET /hvaonline/posts/list/35832.html#220956 /hvaonline/posts/list/35832.html#220956 GMT Lỗi zero-day của ASP.NET http://www.microsoft.com/technet/security/advisory/2416728.mspx Workaround hiện tại: http://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspx]]> /hvaonline/posts/list/35832.html#220984 /hvaonline/posts/list/35832.html#220984 GMT Lỗi zero-day của ASP.NET /hvaonline/posts/list/35832.html#220997 /hvaonline/posts/list/35832.html#220997 GMT Lỗi zero-day của ASP.NET

Jino_Hoang wrote:
Việc đặt CustomErrors mode="On" có tác dụng tránh lỗi này không anh? Xem qua Video thì chưa biết cách khắc phục thế nào cả. Trong Video hình như có nhắc tới mã hoá DES và 1 dạng mã hoá nào đó, có thể lỗi này xuất phát từ Exploit của cơ chế mã hoá nay. Em đoán trong khi nghiên cứu Practical Padding Oracle Attacks các anh đã tìm thấy cái này. Chờ Tool và Slide để tìm cách khắc phục. 

thaidn wrote:
error message setting is irrelevant. no error? there's always HTTP status. always the same HTTP status? there's always big timing different  
]]>
/hvaonline/posts/list/35832.html#221047 /hvaonline/posts/list/35832.html#221047 GMT
Lỗi zero-day của ASP.NET /hvaonline/posts/list/35832.html#221051 /hvaonline/posts/list/35832.html#221051 GMT Lỗi zero-day của ASP.NET

sangteamtham wrote:
Khách bên mình cũng sử dụng ASP.NET, Cty chủ yếu sử dụng ASP.NET để phát triển website cho khách hàng. Hy Vọng sẽ có thông tin fix sớm. 
Bạn đọc advisory của MS mình để ở trên chưa? Nó có workaround hiện tại trong lúc chờ patch.]]>
/hvaonline/posts/list/35832.html#221061 /hvaonline/posts/list/35832.html#221061 GMT
Lỗi zero-day của ASP.NET /hvaonline/posts/list/35832.html#221554 /hvaonline/posts/list/35832.html#221554 GMT Lỗi zero-day của ASP.NET /hvaonline/posts/list/35832.html#221566 /hvaonline/posts/list/35832.html#221566 GMT Lỗi zero-day của ASP.NET Has My Site Been Attacked? The publicly disclosed exploit would cause the web server to generate thousands (or tens of thousands) of HTTP 500 and 404 error responses to requests from a malicious client. You can use stateful filters in your firewall or intrusion detection systems on your network to detect such patterns and block potential attackers. The Dynamic IP Restrictions module supported by IIS 7 can also be used to block these types of attacks. Additionally, if your site has been attacked, you should see warnings in the application event log similar to: Event code: 3005 Event message: An unhandled exception has occurred. Event time: 11/11/1111 11:11:11 AM Event time (UTC): 11/11/1111 11:11:11 AM Event ID: 28e71767f3484d1faa90026f0947e945 Event sequence: 133482 Event occurrence: 44273 Event detail code: 0 Application information: Application domain: c1db5830-1-129291000036654651 Trust level: Full Application Virtual Path: / Application Path: C:\foo\TargetWebApplication\ Machine name: FOO Process information: Process ID: 3784 Process name: WebDev.WebServer40.exe Account name: foo Exception information: Exception type: CryptographicException Exception message: Padding is invalid and cannot be removed. The highlighted exception detail is the most important piece of information in the event log entry to look for. It is possible to hit this error while developing new ASP.NET website code, and it can happen in certain production environments. However, if it did not appear on your production servers until recently, it is possible that it indicates an attack. Verifying that the time of these exceptions corresponds to the large number of requests described above would increase the confidence that this entry was caused by an attack. ]]> /hvaonline/posts/list/35832.html#221578 /hvaonline/posts/list/35832.html#221578 GMT Lỗi zero-day của ASP.NET /hvaonline/posts/list/35832.html#221593 /hvaonline/posts/list/35832.html#221593 GMT Lỗi zero-day của ASP.NET

vuongphong wrote:
(':-('); Đợi tool và paper lâu quá rồi !  
Chờ tiền, path của MS sẽ có tool và paper !! =)) ]]>
/hvaonline/posts/list/35832.html#221601 /hvaonline/posts/list/35832.html#221601 GMT
Lỗi zero-day của ASP.NET /hvaonline/posts/list/35832.html#221603 /hvaonline/posts/list/35832.html#221603 GMT Lỗi zero-day của ASP.NET /hvaonline/posts/list/35832.html#221612 /hvaonline/posts/list/35832.html#221612 GMT Lỗi zero-day của ASP.NET /hvaonline/posts/list/35832.html#221659 /hvaonline/posts/list/35832.html#221659 GMT Lỗi zero-day của ASP.NET

mrro wrote:
@LeVuHoang: đúng vậy. đọc được bất kỳ file nào nằm trong trong thư mục gốc của ứng dụng ASP.NET. Có thể chôm file cấu hình hoặc file mã nguồn. @vikjava: mấy cái workaround và cách phát hiện tấn công của MS đưa ra đều không có tác dụng. Cách phòng chống duy nhất bây giờ là liên hệ với mình :D, hoặc là chờ patch chính thức của MS. -m 
mrro có thể cung cấp cách thức, tool và các thông tin liên quan cho 2 ý trên không?]]>
/hvaonline/posts/list/35832.html#221660 /hvaonline/posts/list/35832.html#221660 GMT
Lỗi zero-day của ASP.NET /hvaonline/posts/list/35832.html#221662 /hvaonline/posts/list/35832.html#221662 GMT Lỗi zero-day của ASP.NET /hvaonline/posts/list/35832.html#221698 /hvaonline/posts/list/35832.html#221698 GMT Lỗi zero-day của ASP.NET Workaround refers to a setting or configuration change that does not correct the underlying issue but would help block known attack vectors before you apply the update. Microsoft has tested the following workarounds and states in the discussion whether a workaround reduces functionality:   Vì vậy tốt nhất là nên nín thở chờ bản vá :mrgreen: Lỗi này được xếp vào dạng Information Disclosure nên không được đánh giá ở mức critical thì phải?]]> /hvaonline/posts/list/35832.html#221700 /hvaonline/posts/list/35832.html#221700 GMT Lỗi zero-day của ASP.NET /hvaonline/posts/list/35832.html#221701 /hvaonline/posts/list/35832.html#221701 GMT Lỗi zero-day của ASP.NET

mrro wrote:
slide trình bày tại EKOPARTY: http://netifera.com/research/poet//PaddingOraclesEverywhereEkoparty2010.pdf -m  
Thanks anh mrro, slide rất hay và tương đối dễ hiểu... Em muốn hỏi về vấn đề P[0] và IV trong trường hợp CAPTCHA anh giải quyết thế nào ? Brute-force ? ( nếu có tài liệu nào more detail cho em xin đọc cái :) ). Không biết anh mrro có định mở 1 topic riêng thảo luận về PO với CBC-R không ? ]]>
/hvaonline/posts/list/35832.html#221703 /hvaonline/posts/list/35832.html#221703 GMT
Lỗi zero-day của ASP.NET /hvaonline/posts/list/35832.html#221704 /hvaonline/posts/list/35832.html#221704 GMT Lỗi zero-day của ASP.NET /hvaonline/posts/list/35832.html#221738 /hvaonline/posts/list/35832.html#221738 GMT Lỗi zero-day của ASP.NET /hvaonline/posts/list/35832.html#221750 /hvaonline/posts/list/35832.html#221750 GMT Lỗi zero-day của ASP.NET mrro nên có bài viết tổng kết về vấn đề này. Viết càng dễ hiểu càng tốt. Thank you in advance.]]> /hvaonline/posts/list/35832.html#221794 /hvaonline/posts/list/35832.html#221794 GMT Lỗi zero-day của ASP.NET /hvaonline/posts/list/35832.html#221880 /hvaonline/posts/list/35832.html#221880 GMT Lỗi zero-day của ASP.NET /hvaonline/posts/list/35832.html#221959 /hvaonline/posts/list/35832.html#221959 GMT Lỗi zero-day của ASP.NET http://www.microsoft.com/technet/security/bulletin/MS10-070.mspx]]> /hvaonline/posts/list/35832.html#221971 /hvaonline/posts/list/35832.html#221971 GMT Lỗi zero-day của ASP.NET

mrro wrote:
Video quay lại buổi thuyết trình ở EKOPARTY: http://vimeo.com/15454510. Đoạn nói về ASP.NET bằng tiếng Anh bắt đầu ở phút thứ 26. -m  
hi mrro có lý do gì về việc Juliano Rizzo mặc áo cờ việt nam không thế -:|- ]]>
/hvaonline/posts/list/35832.html#222058 /hvaonline/posts/list/35832.html#222058 GMT
Lỗi zero-day của ASP.NET /hvaonline/posts/list/35832.html#222379 /hvaonline/posts/list/35832.html#222379 GMT Lỗi zero-day của ASP.NET

vuongphong wrote:
em mới thấy cái này : http://www.exploit-db.com/exploits/15213/ 
Đây chỉ là exploit code để download "root web.config file" trong ASP.net khi một website được thiết kế sử dung ASP.net ============= Việc phát hiện ra lỗi của Microsoft, lỗi ASP.NET Padding oracle vulnerability, đang là một chủ đề nóng được bàn nhiều trên mạng trong thời gian qua. Đây là một lỗi quan trọng (trong một số trường hợp có thể coi là nghiêm trọng -critical). Microsoft đã phải cố gắng để đưa ra bản vá lỗi này trong một thời gian ngắn nhất có thể. Bản vá đã có trên mạng, như chúng ta đã thấy. Thế giới đã ghi nhận công trạng và đóng góp của các researchers là Thai Duong (mrro) và Juliano Rizzo (Achentina). Lỗi này đã nhanh chóng được xác nhận trong các tài liệu chính thức của các cơ quan bảo mật quốc tế nổi tiếng, lỗi mang ký hiệu là BID:43316 trong tài liệu của Securityfocus, SECTRACK:1024459 của Securitytracker, SECUNIA:41409 của Secunia,(61898) của x-force... và quan trọng nhất là CVE-2010-3332 của National Vulnerability Database (NVD) (Mỹ). HVA chúng ta rất tự hào về thành tựu này của mrro, một thành viên, Admin của HVA. Tuy nhiên để hiểu rõ nội dung của lỗi có tên là ASP.NET Padding oracle vulnerability mà mrro phát hiện ra, đánh giá đúng công trạng của những người tìm ra, chúng ta cần tìm hiểu sâu một loạt vấn đề, thí dụ: - Hiểu kỹ về ASP.net (không phải là ASP như có người nói) - Hiểu về Microsoft.Net Framework - Mối quan hệ giữa ASP.net và IIS - Cách Authentication thường dùng khi đăng nhập mà ASP.net áp dụng (Đăng nhập qua Windows , hay ở dang Form, hay Passport?) - Cơ chế quá trình xác thưc đăng nhập trong ASP.net - Cách thức các researchers đưa vào các padding (ciphertext) để yêu cầu cơ cấu xác thực của ASP.net (đóng vai trò một oracle) trả lời với môt http error code nào đó - Cách thức researchers tìm ra các thông tin quan trọng của user được mã hoá (dưới dạng MD5, SHA1...) - ... vân vân Nếu có thời gian tôi sẽ viết một bài về các vấn đề trên. Tuy rằng nếu mrro viết thì chính xác và hay hơn nhiều. Nhưng có thể mrro đang bận === Be noted : Trong cụm từ này: "ASP.NET Padding oracle vulnerability" thì oracle nên viết thường, không nên viết hoa Oracle. ]]>
/hvaonline/posts/list/35832.html#222612 /hvaonline/posts/list/35832.html#222612 GMT
Lỗi zero-day của ASP.NET /hvaonline/posts/list/35832.html#222680 /hvaonline/posts/list/35832.html#222680 GMT Lỗi zero-day của ASP.NET

taisaothe wrote:
Nói như vậy lỗi này muốn khắc phúc thì hiện chưa thể được hả ? 
Microsoft đã đưa lên mạng các bản vá lỗi. Còn muốn đánh giá là các bản ấy có khắc phục được hoàn toàn lỗi ASP.net Padding oracle hay không? Thì .... hãy... bắt đầu nghiên cứu kỹ các vấn đề tôi đã nêu ra ở post trên. Nghiên cứu thì phải đọc tài liệu, hơn nữa phải cài thử ASP.net vào Win 2003 hay 2008..,. rôi thiết lâp một webserver, rồi bắt chiếc việc mà mrro đã làm, không thấy gì... thì hỏi mrro. Mà nếu đọc tài liệu mà không hiểu, hay có điểm không hiểu (thí dụ padding là cái gì? oracle có nghĩa là gì? hay không hiểu gì về encryption...) thì lại phải đi hỏi mrro, hay hỏi người giỏi về các lĩnh vực ấy. Hì hì.]]>
/hvaonline/posts/list/35832.html#222686 /hvaonline/posts/list/35832.html#222686 GMT
Lỗi zero-day của ASP.NET

PXMMRF wrote:
Nếu có thời gian tôi sẽ viết một bài về các vấn đề trên.  
- Hy vọng anh PXMMRF sẽ viết một bài thật dễ hiểu về các vấn đề này. Thank you very much in advance. ]]>
/hvaonline/posts/list/35832.html#222698 /hvaonline/posts/list/35832.html#222698 GMT
Lỗi zero-day của ASP.NET /hvaonline/posts/list/35832.html#223748 /hvaonline/posts/list/35832.html#223748 GMT Lỗi zero-day của ASP.NET /hvaonline/posts/list/35832.html#224027 /hvaonline/posts/list/35832.html#224027 GMT Lỗi zero-day của ASP.NET http://www.ieee-security.org/TC/SP2011/program.html với paper "Cryptography in the Web: The Case of Cryptographic Design Flaws in ASP.NET":
This paper discusses how cryptography is misused in the security design of a large part of the Web. Our focus is on ASP.NET, the web application framework developed by Microsoft that powers 25% of all Internet web sites. We show that attackers can abuse multiple cryptographic design flaws to compromise ASP.NET web applications. We describe practical and highly efficient attacks that allow attackers to steal cryptographic secret keys and forge authentication tokens to access sensitive information. The attacks combine decryption oracles, unauthenticated encryptions, and the reuse of keys for different encryption purposes. Finally, we give some reasons why cryptography is often misused in web technologies, and recommend steps to avoid these mistakes.  
hi hi lần này thay đổi không khí, nộp paper cho một hội thảo hàn lâm, may mắn là không những họ "không kỳ thị" mà còn ủng hộ, giúp đỡ chỉnh sửa và làm cho paper tốt lên rất nhiều. mình đang tham khảo lại cái quy định về bản quyền của bọn IEEE, nếu không có vấn đề gì thì vài ngày nữa mình sẽ gửi paper lên đây. thiệt ra thì bạn nào có hứng thú, PM cho mình, mình sẽ gửi paper. paper này đánh dấu chặng đường hai năm của dự án nghiên cứu cách thức các kỹ thuật cryptography được sử dụng (sai) trong môi trường phát triển web. hai năm trước, cá nhân mình còn rất mù mờ về cryptography nói chung và sử dụng cryptography nói riêng. những điều mình biết chủ yếu gói gọn trong cuốn sách "Practical Cryptography" http://www.schneier.com/book-practical.html) của Niels Ferguson và Bruce Schneier. thật tế là hầu hết các tấn công mà bọn mình sử dụng trong các nghiên cứu vừa qua đều được đề cập đến trong cuốn PC. dẫu vậy, mình rút ra được điều cơ bản là đọc sách thì phải đào sâu vào những điểm mà sách đưa ra. ví dụ như sách có nói về length-extension attack trong các hàm hash theo mô hình Merkle-Damgard nhưng không nói cụ thể về cách thức triển khai tấn công. bọn mình tò mò, tìm hiểu cách triển khai tấn công này (cũng như tìm hiểu cấu trúc của MD5 và SHA1), và "tình cờ" (như gamma95 thường nói ;-) phát hiện ra có thể sử dụng phương thức này để tấn công bộ API của Flickr. hoặc như sách nói nếu xử lý padding không đúng, có thể khiến cho hệ thống bị tấn công theo phương thức "chosen-ciphertext attack" nhưng cũng không nói cụ thể thế nào, mà chỉ trích dẫn một paper khác. cryptography không phải là một giải pháp trọn vẹn cho vấn đề security, nhưng mà cryptography là một phần của tất cả các giải pháp cho các vấn đề security. dẫu vậy, sử dụng cryptography đúng cách là không dễ và hiện giờ lập trình viên cũng không được hỗ trợ như đối với các vấn đề liên quan đến memory corruption. số lỗ hổng cryptography là rất nhiều và hầu hết là nghiêm trọng. thật tế nhắm mắt tìm trên Google các đoạn mã cryptography, thì cá nhân mình thấy phần lớn trong số đó là không an toàn. không nói chi xa, mới cách đây vài giờ, mình thấy cái link này trên Twitter http://nenolod.net/~nenolod/sholes-keyleak-explained.html. theo quan sát của mình thì hiện giờ trong cộng đồng security ở VN cũng như nước ngoài, có rất ít người tập trung vào đề tài đánh giá việc sử dụng cryptography đúng cách trong các phần mềm thương mại. đây là một cơ hội cho bạn nào muốn làm nghiên cứu trong mảng đề tài an ninh ứng dụng. ngoài an ninh ứng dụng ra, thì có thể kết hợp cryptography và hardware reverse engineering để nghiên cứu cách cryptography được sử dụng trong các thiết bị điện tử cá nhân như đầu đọc sách, đồ chơi, điện thoại hoặc các loại smartcard như thẻ thanh toán. đây cũng là lĩnh vực còn ít người làm và còn nhiều cái để làm. sắp tới mình cũng sẽ đi theo hướng đó. -m]]>
/hvaonline/posts/list/35832.html#233668 /hvaonline/posts/list/35832.html#233668 GMT
Lỗi zero-day của ASP.NET mrro có paper accepted ở Oakland (world best security conference). Không còn gì để nói, xin chúc mừng. Clap clap.]]> /hvaonline/posts/list/35832.html#233669 /hvaonline/posts/list/35832.html#233669 GMT Lỗi zero-day của ASP.NET

mrro wrote:
@LeVuHoang: hiện giờ theo thoả thuận với MS thì mình không có cung cấp thông tin đó được. Dẫu vậy mình có PM cho bạn một cái video chứng minh là workaround của MS không chặn được POET. @ITvh: mình cũng ngạc nhiên là Microsoft xếp là Important nhưng lại đưa ra Out Of Band patch. Có lẽ do cái này không trực tiếp là remote code execution, nhưng do mức độ ảnh hưởng lớn nên họ bắt buộc phải đưa ra OOB patch. Lời khuyên là nên cài bảng vá này ngay khi nó ra. -m  
Chờ đợi và thất vọng chút xíu. Dù sao 1 người không thể tìm kiếm lỗi đó cũng muốn chiêm ngưỡng 1 lần nhưng có vẽ là lần này không được rồi. Những cái lỗi 0-day này thực sự để lộ ra thì chỉ thoả mản trí tò mò, và mang lại nhiều rắc rối.]]>
/hvaonline/posts/list/35832.html#247468 /hvaonline/posts/list/35832.html#247468 GMT
Lỗi zero-day của ASP.NET /hvaonline/posts/list/35832.html#254476 /hvaonline/posts/list/35832.html#254476 GMT Lỗi zero-day của ASP.NET /hvaonline/posts/list/35832.html#263158 /hvaonline/posts/list/35832.html#263158 GMT