banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thông tin new bugs và exploits Lỗi zero-day của ASP.NET  XML
  [Announcement]   Lỗi zero-day của ASP.NET 10/09/2010 02:50:50 (+0700) | #1 | 220402
mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
Hi mọi người,

Trong tuần tới, tôi và một đồng nghiệp sẽ trình bày về một lỗ hổng zero-day nghiêm trọng của ASP.NET tại hội thảo EKOPARTY, Argentina. Trong báo cáo "Practical Padding Oracle Attacks", chúng tôi giới thiệu CBC-R và bàn đến các khả năng sử dụng CBC-R để có thể thực hiện các tấn công nghiêm trọng. Và lần này, chúng tôi sẽ chứng minh: với CBC-R, tấn công padding oracle không chỉ còn dừng lại ở mức giải mã view state hoặc là vượt CAPTCHA, mà còn có thể dẫn đến chiếm trọn quyền trên hệ thống.

http://www.ekoparty.org/eng/thai-duong-2010.php wrote:

Finally we demonstrate the attacks against real world applications. We use the Padding Oracle attack to decrypt data and use CBC-R to encrypt our modifications. Then we abuse components present in every ASP.NET installation to forge authentication tickets and access applications with administration rights. The vulnerabilities exploited affect the framework used by 25% of the Internet websites.The impact of the attack depends on the applications installed on the server, from information disclosure to total system compromise.
 


Vài bữa nữa sẽ có video trình diễn. Theo tôi quan sát thì có khá nhiều web site ở VN cũng như trên thế giới bị ảnh hưởng bởi lỗ hổng này. Bạn nào có sử dụng công nghệ này thì nên chú ý theo dõi.

-m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 10/09/2010 07:39:52 (+0700) | #2 | 220410
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Great, waiting for your video.
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 10/09/2010 08:57:11 (+0700) | #3 | 220414
[Avatar]
mars_zu
Member

[Minus]    0    [Plus]
Joined: 02/08/2010 21:57:14
Messages: 14
Location: Location group
Offline
[Profile] [PM]
Lúc mới đọc cứ tưởng Hội thảo được tổ chức ở Việt Nam.
G‘lutasion Samatha
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 10/09/2010 09:19:12 (+0700) | #4 | 220417
[Avatar]
Z0rr0
Q+WRtaW5pc3RyYXRvc+g

Joined: 14/08/2002 12:52:01
Messages: 1323
Location: Underground
Offline
[Profile] [PM] [WWW] [Yahoo!]
Vụ này rất hấp dẫn, hi vọng học được nhiều điều từ kết quả nghiên cứu của mrro và đồng nghiệp. Hiện khách hàng bên tui sài .NET cho web app khá nhiều smilie
Hibernating
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 10/09/2010 13:55:38 (+0700) | #5 | 220442
[Avatar]
gamma95
Researcher

Joined: 20/05/2003 07:15:41
Messages: 1377
Location: aaa">
Offline
[Profile] [PM] [ICQ]
video sẽ demo deface Microsoft đầu tiên, mềnh đoán như thế =]
Cánh chym không mỏi
lol
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 10/09/2010 15:46:59 (+0700) | #6 | 220455
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
me 2, lolz
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 10/09/2010 19:28:34 (+0700) | #7 | 220475
[Avatar]
zeno
Elite Member

[Minus]    0    [Plus]
Joined: 20/07/2004 03:57:09
Messages: 124
Location: HVA
Offline
[Profile] [PM]
Mấy site của khách hàng của mình cũng sài ASP.NET. Ngóng vụ này quá đi smilie
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 11/09/2010 08:10:49 (+0700) | #8 | 220500
[Avatar]
lamhoang20002000
Member

[Minus]    0    [Plus]
Joined: 03/04/2005 16:32:02
Messages: 52
Offline
[Profile] [PM] [Yahoo!]
Chờ video của bác. Tiện thể, bác mrro có phải là "thai duong" không vậy smilie?
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 11/09/2010 12:52:28 (+0700) | #9 | 220518
[Avatar]
Jino_Hoang
Member

[Minus]    0    [Plus]
Joined: 09/04/2009 13:58:10
Messages: 239
Location: Mạng Internet
Offline
[Profile] [PM] [Yahoo!]
Chờ đợi 1 niềm tin. Ôi site của em, mong nó bình an qua cơn bão này.
Đã Trở Lại - Ăn Hại Hơn Trước
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 12/09/2010 12:20:51 (+0700) | #10 | 220572
seamoun
Advisor

Joined: 04/01/2002 14:05:10
Messages: 357
Offline
[Profile] [PM]
good job man !
--vickigroup.com--
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 13/09/2010 19:31:18 (+0700) | #11 | 220639
mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
thêm một số thông tin từ báo chí:

Dennish Fisher wrote:

A pair of security researchers have implemented an attack that exploits the way that ASP.NET Web applications handle encrypted session cookies, a weakness that could enable an attacker to hijack users' online banking sessions and cause other severe problems in vulnerable applications. Experts say that the bug, which will be discussed in detail at the Ekoparty conference in Argentina this week, affects millions of Web applications.

The problem lies in the way that ASP.NET, Microsoft's popular Web framework, implements the AES encryption algorithm to protect the integrity of the cookies these applications generate to store information during user sessions. A common mistake is to assume that encryption protects the cookies from tampering so that if any data in the cookie is modified, the cookie will not decrypt correctly. However, there are a lot of ways to make mistakes in crypto implementations, and when crypto breaks, it usually breaks badly.

"We knew ASP.NET was vulnerable to our attack several months ago, but we didn't know how serious it is until a couple of weeks ago. It turns out that the vulnerability in ASP.NET is the most critical amongst other frameworks. In short, it totally destroys ASP.NET security," said Thai Duong, who along with Juliano Rizzo, developed the attack against ASP.NET.

 


Xem thêm: http://threatpost.com/en_us/blogs/new-crypto-attack-affects-millions-aspnet-apps-091310

Hiện giờ EKOPARTY chưa có kế hoạch thuyết trình chính thức, nhưng có lẽ đề tài này sẽ được trình bày vào cuối ngày thứ hai của hội thảo, tức là khoảng khuya thứ bảy giờ VN. Tôi sẽ gửi video trình diễn lên đây ngay sau hội thảo kết thúc.

-m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 15/09/2010 11:03:11 (+0700) | #12 | 220757
[Avatar]
Jino_Hoang
Member

[Minus]    0    [Plus]
Joined: 09/04/2009 13:58:10
Messages: 239
Location: Mạng Internet
Offline
[Profile] [PM] [Yahoo!]
Ôi nhóm anh Thái tham gia nhiều hội thảo thế. Cái này họ mời mình hay mình có thông tin nào đó muốn công bố thì đi hả anh?
Đã Trở Lại - Ăn Hại Hơn Trước
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 18/09/2010 05:57:54 (+0700) | #13 | 220924
mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
Sáng nay mình đã trình bày ở EKOPARTY. Đây là video demo smilie.

http://www.youtube.com/watch?v=yghiC_U2RaM

Vài bữa nữa sẽ có slide. Và một thời gian sau sẽ có paper và tools smilie.

-m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 18/09/2010 11:49:57 (+0700) | #14 | 220956
B 0 0 B
Member

[Minus]    0    [Plus]
Joined: 31/07/2009 17:19:41
Messages: 149
Offline
[Profile] [PM]

có comment:

Video is misleading. The ASP.NET setting CustomErrors="Off" is actually the least secure setting; and is *not* the default setting in either ASP.NET as a whole, or in the DNN application.

Any other setting for CustomErrors makes you immune to remote exploitation of this attack; including the value used by default by ASP.NET and by DotNetNuke, which is CustomErrors="RemoteOnly".

Mrro trả lời đi smilie

nay lên đời Mac Pro rồi, mí video trước sài ubuntu smilie
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 18/09/2010 17:45:37 (+0700) | #15 | 220984
qtra004
Member

[Minus]    0    [Plus]
Joined: 19/04/2004 22:36:57
Messages: 298
Location: Kiwiland
Offline
[Profile] [PM]
MS ra security advisory rồi: http://www.microsoft.com/technet/security/advisory/2416728.mspx
Workaround hiện tại: http://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspx
Carpe diem quam minimum credula postero
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 18/09/2010 21:04:00 (+0700) | #16 | 220997
[Avatar]
Jino_Hoang
Member

[Minus]    0    [Plus]
Joined: 09/04/2009 13:58:10
Messages: 239
Location: Mạng Internet
Offline
[Profile] [PM] [Yahoo!]
Việc đặt CustomErrors mode="On" có tác dụng tránh lỗi này không anh? Xem qua Video thì chưa biết cách khắc phục thế nào cả. Trong Video hình như có nhắc tới mã hoá DES và 1 dạng mã hoá nào đó, có thể lỗi này xuất phát từ Exploit của cơ chế mã hoá nay. Em đoán trong khi nghiên cứu Practical Padding Oracle Attacks các anh đã tìm thấy cái này.
Chờ Tool và Slide để tìm cách khắc phục.
Đã Trở Lại - Ăn Hại Hơn Trước
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 19/09/2010 20:10:29 (+0700) | #17 | 221047
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

Jino_Hoang wrote:
Việc đặt CustomErrors mode="On" có tác dụng tránh lỗi này không anh? Xem qua Video thì chưa biết cách khắc phục thế nào cả. Trong Video hình như có nhắc tới mã hoá DES và 1 dạng mã hoá nào đó, có thể lỗi này xuất phát từ Exploit của cơ chế mã hoá nay. Em đoán trong khi nghiên cứu Practical Padding Oracle Attacks các anh đã tìm thấy cái này.
Chờ Tool và Slide để tìm cách khắc phục. 


thaidn wrote:
error message setting is irrelevant. no error? there's always HTTP status. always the same HTTP status? there's always big timing different  
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 19/09/2010 21:20:32 (+0700) | #18 | 221051
sangteamtham
Member

[Minus]    0    [Plus]
Joined: 13/11/2008 18:34:26
Messages: 27
Location: Việt Nam
Offline
[Profile] [PM]
Khách bên mình cũng sử dụng ASP.NET, Cty chủ yếu sử dụng ASP.NET để phát triển website cho khách hàng. Hy Vọng sẽ có thông tin fix sớm.
Một sự việc và hàng tỉ cái đầu
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 20/09/2010 07:12:26 (+0700) | #19 | 221061
qtra004
Member

[Minus]    0    [Plus]
Joined: 19/04/2004 22:36:57
Messages: 298
Location: Kiwiland
Offline
[Profile] [PM]

sangteamtham wrote:
Khách bên mình cũng sử dụng ASP.NET, Cty chủ yếu sử dụng ASP.NET để phát triển website cho khách hàng. Hy Vọng sẽ có thông tin fix sớm. 

Bạn đọc advisory của MS mình để ở trên chưa? Nó có workaround hiện tại trong lúc chờ patch.
Carpe diem quam minimum credula postero
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 27/09/2010 08:35:00 (+0700) | #20 | 221554
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Mình thắc mắc là lỗi này có thể lấy được nội dung file bất kỳ hay không? Nhờ mrro giải thích.
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 27/09/2010 10:42:58 (+0700) | #21 | 221566
[Avatar]
vuongphong
Member

[Minus]    0    [Plus]
Joined: 02/06/2010 10:34:16
Messages: 24
Location: sách
Offline
[Profile] [PM]
('smilie'); Đợi tool và paper lâu quá rồi !
just climb, even slowly, you can reach the peak
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 27/09/2010 12:54:25 (+0700) | #22 | 221578
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]
Has My Site Been Attacked?

The publicly disclosed exploit would cause the web server to generate thousands (or tens of thousands) of HTTP 500 and 404 error responses to requests from a malicious client. You can use stateful filters in your firewall or intrusion detection systems on your network to detect such patterns and block potential attackers. The Dynamic IP Restrictions module supported by IIS 7 can also be used to block these types of attacks.

Additionally, if your site has been attacked, you should see warnings in the application event log similar to:

Event code: 3005
Event message: An unhandled exception has occurred.
Event time: 11/11/1111 11:11:11 AM
Event time (UTC): 11/11/1111 11:11:11 AM
Event ID: 28e71767f3484d1faa90026f0947e945
Event sequence: 133482
Event occurrence: 44273
Event detail code: 0

Application information:
Application domain: c1db5830-1-129291000036654651
Trust level: Full
Application Virtual Path: /
Application Path: C:\foo\TargetWebApplication\
Machine name: FOO

Process information:
Process ID: 3784
Process name: WebDev.WebServer40.exe
Account name: foo

Exception information:
Exception type: CryptographicException
Exception message: Padding is invalid and cannot be removed.

The highlighted exception detail is the most important piece of information in the event log entry to look for. It is possible to hit this error while developing new ASP.NET website code, and it can happen in certain production environments. However, if it did not appear on your production servers until recently, it is possible that it indicates an attack. Verifying that the time of these exceptions corresponds to the large number of requests described above would increase the confidence that this entry was caused by an attack.
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 27/09/2010 14:52:36 (+0700) | #23 | 221593
mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
@LeVuHoang: đúng vậy. đọc được bất kỳ file nào nằm trong trong thư mục gốc của ứng dụng ASP.NET. Có thể chôm file cấu hình hoặc file mã nguồn.

@vikjava: mấy cái workaround và cách phát hiện tấn công của MS đưa ra đều không có tác dụng. Cách phòng chống duy nhất bây giờ là liên hệ với mình smilie, hoặc là chờ patch chính thức của MS.

-m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 27/09/2010 15:40:53 (+0700) | #24 | 221601
[Avatar]
Jino_Hoang
Member

[Minus]    0    [Plus]
Joined: 09/04/2009 13:58:10
Messages: 239
Location: Mạng Internet
Offline
[Profile] [PM] [Yahoo!]

vuongphong wrote:
('smilie'); Đợi tool và paper lâu quá rồi !  

Chờ tiền, path của MS sẽ có tool và paper !! smilie
Đã Trở Lại - Ăn Hại Hơn Trước
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 27/09/2010 16:10:38 (+0700) | #25 | 221603
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]
Dear mrro !

- Liên hệ với lão thế nào vậy, thaidn@gmail.com ah(hay gọi điện xin cái hẹn với lão làm vài ve số đt ....3806.) Xem trong event view của server thì xuất hiện Event code: 3005 đầy rãy, thằng ku nào đó đang dùng bootnet quét lỗi khai thác thì phải smilie

- Nếu cấu hình trên firewall để ngăn chặn vụ này thì cấu hình thế nào, Checkpoint đã đưa ra cấu hình ngăn chặn tại đây, theo mrro thì nó hiệu quả không. http://www.checkpoint.com/defense/advisories/public/2010/sbp-19-Sep.html

- Làm cách nào để xác định là server mình đang bị tấn công và đã bị hạ gục smilie

p/s: Hiện nay lão chưa công bố tool nên không có điều kiện test thử cách vượt qua các workaround.
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 27/09/2010 18:20:38 (+0700) | #26 | 221612
[Avatar]
gamma95
Researcher

Joined: 20/05/2003 07:15:41
Messages: 1377
Location: aaa">
Offline
[Profile] [PM] [ICQ]
các bạn chịu khó đợi bản workaround của BKIS xem sao =]
Cánh chym không mỏi
lol
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 28/09/2010 08:48:48 (+0700) | #27 | 221659
mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
slide trình bày tại EKOPARTY: http://netifera.com/research/poet//PaddingOraclesEverywhereEkoparty2010.pdf

-m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 28/09/2010 08:55:11 (+0700) | #28 | 221660
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]

mrro wrote:
@LeVuHoang: đúng vậy. đọc được bất kỳ file nào nằm trong trong thư mục gốc của ứng dụng ASP.NET. Có thể chôm file cấu hình hoặc file mã nguồn.

@vikjava: mấy cái workaround và cách phát hiện tấn công của MS đưa ra đều không có tác dụng. Cách phòng chống duy nhất bây giờ là liên hệ với mình smilie, hoặc là chờ patch chính thức của MS.

-m 

mrro có thể cung cấp cách thức, tool và các thông tin liên quan cho 2 ý trên không?
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 28/09/2010 09:21:12 (+0700) | #29 | 221662
ITvh
Member

[Minus]    0    [Plus]
Joined: 04/03/2005 18:48:54
Messages: 16
Offline
[Profile] [PM]
Microsoft vừa đưa ra Advance Notification cho out-of-band security bulletin giải quyết lỗ hổng này. Theo đó bản cập nhật sẽ được phát hành vào thứ Ba 28/09/2010 khoảng 10:00 sáng (PDT) tức khoảng 24:00 ngày 28/09/2010 giờ Việt Nam.
Ngay sau đó 3 tiếng, MS cũng tổ chức một webcast để bà con hỏi đáp về vấn đề này tính ra giờ Việt Nam là 3:00 sáng ngày 29/09/2010.

Đáng chú ý là Microsoft chỉ xếp mức độ nghiêm trọng của lỗi này là "Important" cho tất cả các sản phẩm, nhẹ hơn so với mức cao nhất "Critical".

"This is an advance notification of one out-of-band security bulletin that Microsoft is intending to release on September 28, 2010. The bulletin addresses a security vulnerability in all supported releases of Microsoft Windows.

This bulletin advance notification will be replaced with the September bulletin summary on September 28, 2010. For more information about the bulletin advance notification service, see Microsoft Security Bulletin Advance Notification.

To receive automatic notifications whenever Microsoft Security Bulletins are issued, subscribe to Microsoft Technical Security Notifications.

Microsoft will host a webcast to address customer questions on the out-of-band bulletin on September 28, 2010, at 1:00 PM Pacific Time (US & Canada). Register now for the September 28, 1:00 PM webcast. Afterwards, this webcast is available on-demand. For more information, see Microsoft Security Bulletin Summaries and Webcasts.

Microsoft also provides information to help customers prioritize monthly security updates with any non-security, high-priority updates that are being released on the same day as the monthly security updates"

http://blogs.technet.com/b/sus/archive/2010/09/27/out-of-band-release-to-address-microsoft-security-advisory-2416728.aspx
http://www.microsoft.com/technet/security/bulletin/ms10-sep.mspx
[Up] [Print Copy]
  [Announcement]   Lỗi zero-day của ASP.NET 28/09/2010 14:10:13 (+0700) | #30 | 221698
mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
@LeVuHoang: hiện giờ theo thoả thuận với MS thì mình không có cung cấp thông tin đó được. Dẫu vậy mình có PM cho bạn một cái video chứng minh là workaround của MS không chặn được POET.

@ITvh: mình cũng ngạc nhiên là Microsoft xếp là Important nhưng lại đưa ra Out Of Band patch. Có lẽ do cái này không trực tiếp là remote code execution, nhưng do mức độ ảnh hưởng lớn nên họ bắt buộc phải đưa ra OOB patch.

Lời khuyên là nên cài bảng vá này ngay khi nó ra.

-m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|