Primeros ataques web a través de ASP.NET

  • Por
Microsoft publica una solución temporal ante los primeros ataques contra aplicaciones web desarrolladas con el sistema ASP.NET.
25/09/2010 - La vulnerabilidad descubierta y confirmada hace pocos días permite que un atacante pueda solicitar y descargar archivos dentro de una aplicación ASP.NET como el archivo web.config, el cual suele contener datos confidenciales.

Microsoft que ha reconocido la existencia de la vulnerabilidad, planea lanzar un parche para la falla de ASP.NET a través de Windows Update, aunque no ha especificado cuando será liberado. No obstante ante la constancia de los primeros ataques aprovechando dicho agujero de seguridad ha dado a conocer una solución temporal que consiste en habilitar la característica <customErrors> de ASP.NET, y configurar explícitamente nuestras aplicaciones para que siempre devuelvan la misma página de error, sin importar el error que se genere en el servidor. Al redireccionar todas las páginas de error a una página de error única, impedimos que el atacante pueda diferenciar entre los diferentes tipos de errores que ocurren en el servidor.

Aquellos que deseen habilitar esta solución temporal pueden seguir los pasos indicados en blogs.technet.com.

La vulnerabilidad se encuentra en todas las versiones del entorno de aplicación web ASP.NET, que según algunos datos es usado en la creación de un número muy importante de sites y aplicaciones web.

Desde DesarrolloWeb estaremos atentos al parche definitivo con el que Microsoft planea solucionar esta nueva vulnerabilidad.