Afortunadamente la todopoderosa Microsoft tiene un arma secreta, si sabéis cual es "Pues la CADAF (Comunidad de Analistas, desarrolladores, arquitectos, funcionales, expertos en Micrososft). Si no vean la cantidad de información que brota como manantial de papa Google cuando le preguntas "0 DAYS ASP".
En fin creo que no es de asustarse ya hay mucha información y varias soluciones, el problema ya se sabe cuál es, ahora solo falta que el todopoderos reúna todas las soluciones y las analice para hacer una definitiva y que genere confianza en los clientes de Sharepoint.
Aquí pasare un resumen de la mayoría de los enlaces con un pequeño resumen.
Alberto Díaz en España es el que más ha movido la tierra miren su enlace.
SharePoint 2010. Vulnerabilidad 0 days de ASP.NET
Lo ideal sería tener un script o una característica que realice los cambios en el web.config de todos los servidores de nuestra granja. Si optamos por la opción más limpia y elegante, nos crearemos una característica con Visual Studio y añadimos en el evento de activación de la característica FeatureActivated el código siguiente que modifica el web.config y se asegura de que las modificaciones se repliquen a todos los servidores de nuestra granja.
Este es el que maneja el cotarro POET
Think the ASP.NET padding oracle exploit is no big deal? You're wrong. DNN install rooted in 5 minutes. [VID]
Vamos que se lo montan bien.
Como encontrar la Vulnerabilidad en tu Web server
Pues scottgu en su artículo nos muestra lo siguiente:
We have published a .vbs script that you can save and run on your web-server to determine if there are ASP.NET applications installed on it that either haveturned off, or which differentiate error messages depending on status codes.
You can download the .vbs script here. Simply copy/paste the script into a text file called “DetectCustomErrors.vbs” and save it to disk. Then launch a command window that is elevated as admin and run “cscript DetectCustomErrors.vbs” to run it against your local web-server. It will enumerate all of the applications within your web server and verify that the correctconfiguration has been specified.
Pero el Todopoderoso miro al mundo y vio que estaban todos nerviosos y mando esto:
Executive Summary
Microsoft is investigating a new public report of a vulnerability in ASP.NET. An attacker who exploited this vulnerability could view data, such as the View State, which was encrypted by the target server, or read data from files on the target server, such as web.config. This would allow the attacker to tamper with the contents of the data. By sending back the altered contents to an affected server, the attacker could observe the error codes returned by the server. Microsoft is aware of limited, active attacks at this time.
Workaround
Refers to a setting or configuration change that does not correct the underlying issue but would help block known attack vectors before you apply the update. Microsoft has tested the following workarounds and states in the discussion whether a workaround reduces functionality:
Enable ASP.NET custom errors, and map all error codes to the same error page
En fin saben que es esto otra forma más de demostrar que somos capaces de encontrar problemas y de solucionarlos.
Señores yo lo presente en forma jocosa, pero si vuestras granjas son grandes recen un poco.
No hay comentarios:
Publicar un comentario