Microsoft warnt vor Leck in ASP.NET

Laut Microsoft sind alle Versionen von ASP.NET betroffen. Sie erlauben es, durch zahlreiche Anfragen beim Server und durch Auswertung der Fehlermeldungen die Verschlüsselung zu knacken, wodurch auf sensible Daten zugegriffen werden kann, beispielsweise die auf dem Server lagernde Konfigurationsdatei web.config.

In einem Weblog-Beitrag beschreibt Microsoft, wie sich verwundbare ASP.NET-Anwendungen aufspüren und per Workaround absichern lassen. Dafür muss customErrors so konfiguriert werden, dass unabhängig vom Fehler stets dieselbe Fehlerseite zurückgeliefert wird. Anhand der Fehlermeldungen lässt sich auch herausbekommen, ob die eigene Website bereits attackiert wurden, denn müssten tausende oder zehntausende HTTP-Antworten mit den Fehlercodes 500 und 404 ausgeliefert worden sein. Laut einem weiteren Weblog-Eintrag lassen sich diese Anfragen auch durch das Feature Dynamic IP Restrictions des IIS blocken, das üblicherweise genutzt wird, um DoS-Attacken zu unterbinden.