Ahora que la cosa está un poco más tranquila vamos a aprovechar para repasar lo que ha ocurrido alrededor de la última vulnerabilidad aparecida en ASP.NET. Está entra dentro de las llamadas “zero-day” ya que no existía parche que protegiera de manera integrada contra ella.

Apareció publicada en la Ekoparty Security Conference de Buenos Aires, por Thai Duong y Juliano Rizzo. La técnica tiene aplicaciones maliciosas considerables, como la desencriptación de todos aquellos datos que vienen encriptados al cliente (como el ViewState que viaja en cada postback), robo de la ‘cookie’ de autenticación y descarga de archivos sensibles (todos aquellos que estén blindados a través de la protección integrada que ofrece ASP.NET).

Explicado de manera sencilla, el funcionamiento consiste en enviar texto cifrado al servidor y deducir si el desencriptado fue correcto a través del código de error devuelto. Esta operación repetida de manera sistemática y con un gran número de peticiones permite terminar averiguando las claves implicadas en el proceso. Por desgracia, el tiempo computacional era despreciable y tan solo unos minutos eran suficientes para esto.

Afortunadamente hoy saldrá publicado el parche que se integra de manera automatizada en el ciclo de Windows Update, así que ya sabéis, aunque ya hubierais tomado las medidas paliativas que considerarais oportunas hoy es día de actualizar. Aunque es buen momento para avivar viejos temas de confrontación como el de la seguridad de los productos de Microsoft, en esta ocasión sobre el Internet Information Server y tecnologías asociadas, no hay más que consultar una fuente independiente de incidencias (como Secunia) y comparar estos productos con los de la competencia para darse cuenta de que la discusión está totalmente anticuada.

Algunos vínculos interesantes:

- IIS 6.0 en Secunia: http://secunia.com/advisories/product/1438/
- Apache en Secunia:  http://secunia.com/advisories/product/73/