Le code d’exploitation d’une faille critique dans ASP.NET publié

Le code d’exploitation d’une faille critique dans ASP.NET publié
les Webmasters doivent appliquer d’urgence le patch de sécurité de Microsoft

Le code pour la preuve de faisabilité (PoC) d’une vulnérabilité permettant une attaque par déni de service (DoS) sur la plateforme de développement ASP.NET a été divulgué publiquement sur le Web.

La vulnérabilité avait été découverte et présentée en décembre dernier lors de la conférence européenne sur le piratage Chaos Communication Congress. Compte tenu de la gravité de cette faille, Microsoft avait publié d’urgence un correctif sans attendre les cycles de mises à jour habituels.

Selon l’avis de sécurité publié par Microsoft, la vulnérabilité affecte plusieurs plateformes de développement, y compris ASP.NET.

La faille pourrait permettre à un attaquant anonyme de consommer toutes les ressources processeur d’un serveur Web ou d’un cluster du serveur Web de manière efficace. Pour ASP.NET en particulier, une seule requête HTTP de 100Kb bien conçue pourrait consommer 100% d’un noyau CPU entre 90 et 110 secondes.

Un attaquant pourrait donc à plusieurs reprises soumettre de telles requêtes, causant ainsi une dégradation assez importante, pouvant aboutir à un déni de service, même pour des serveurs clusters ou multicœurs.

Les risques potentiels d’attaques utilisant cette faille ont été augmentés, car un utilisateur de GitHub, la plateforme d’hébergement des projets open sources, du nom de HybrisDisaster a publié une preuve de faisabilité exploitant la vulnérabilité.

Dans les notes figurant dans le code d’exploit, celui-ci encourage les internautes à télécharger, utiliser et rependre le PoC. Par ailleurs, sur ces notes figurent les termes « nous sommes légion », un slogan couramment utilisé par le collectif d’hacktivistes Anonymous.

Compte tenu de la gravité de la faille, les Webmasters sont invités à appliquer dans les plus brefs délais le patch de sécurité qui apporte des correctifs pour trois autres failles dans le Framework .NET.


:fleche: la preuve de faisabilité sur GitHub

:fleche: Le bulletin de sécurité de Microsoft sur la faille

Le patch Tuesday de décembre (MS11-100) ne corrige-t-il pas la faille en question pour ASP.NET?

Qu'en est-il des autres langages? (PHP, Java, Python, ...)