[ASP.NET] Canonicalization vulnerability - Softwareontwikkeling

vrijdag 8 oktober 2004 09:43

Acties:

eens een tettenman, altijd ...

Topicstarter

Ik hoorde van het volgende via een collega die een mail had gekregen van MS. Hij weet zelf niet hoe het komt dat hij die mail kreeg (waarschijnlijk ooit ergens opgegeven).

In ASP.NET zit een fout in de FormsAuthentication, waardoor je via een "specially crafted" url aan door die FA beveiligde bestanden kunt.

Deze issue is blijkbaar al vanaf 14 september bekend, maar Microsoft heeft er zolang geen ruchtbaarheid aan gegeven.

Een voorlopige oplossing bestaat erin zelf je url's te valideren alvorens ze door FA geauthenticeerd worden.

Een fix zit er volgens MS aan te komen.

Ik post het hier om enkele redenen:

Mijn nieuwssuggestie op de Frontpage mislukte doordat ik niet ingelogd was, en toen bedacht ik dat dit misschien ook nog eens hier gepost kon worden.
Ik kwam er zelf maar toevallig achter, dus ik hoop zo meer mensen te kunnen alerten.
De reikwijdte van dit probleem is erg groot. Als je FormAuthenticatie gebruikt op een 2k-bak, is al je beveiligde content op een eenvoudige manier bereikbaar.
IIS 6.0 zou niet kwetsbaar zijn. Is er iemand dit kan bevestigen? (Ik heb geen 2k bak waarop ik makkelijk een exploit kan maken en die vervolgens testen op 2k3)

edit:

PS: Ik vond het vreemd dat dit nog niet op de Frontpage heeft gestaan. Ik kon het in ieder geval niet vinden, noch op de FP noch op het forum.

[ Voor 7% gewijzigd door GrimaceODespair op 08-10-2004 09:46 ]

Wij onderbreken deze thread voor reclame:
http://kalders.be

vrijdag 8 oktober 2004 09:45

Acties:

P_de_B

[rml][ ASP.NET] Asp.net heeft nogal een grote bug[/rml]

Oops! Google Chrome could not find www.rijks%20museum.nl

vrijdag 8 oktober 2004 09:47

Acties:

GrimaceODespair

eens een tettenman, altijd ...

Topicstarter

P_de_B schreef op 08 oktober 2004 @ 09:45:
[rml][ ASP.NET] Asp.net heeft nogal een grote bug[/rml]

euhm... tja... zoeken is blijkbaar ook een kunst

Wij onderbreken deze thread voor reclame:
http://kalders.be

vrijdag 8 oktober 2004 11:01

Acties:

gorgi_19

Kruimeltjes zijn weer op :9

MS heeft er al zolang geen ruchtbaarheid aan gegeven, omdat ze zelf ook niet op de hoogte waren gesteld dmv secure at microsoft dot com. Ze hebben het ook van bugtraq moeten halen. Op zich is ook wel kritiek op deze werkwijze te geven; normaliter licht je eerst de organisatie in als je een bug van deze omvang vindt.

Het is pas groot in de publiciteit gekomen nadat op 1 of 2 oktober een weblog dit probleem heeft beschreven, het overgenomen is en vervolgens gepost op www.asp.net/forums.

Nieuw is ook dat IIS 6.0 / Win2k3 vulnerable is, terwijl dit in de eerste testen niet het geval leek. URLScan op de server installeren lijkt in eerste instantie een (tijdelijke) oplossing (en ook goed configureren).

Forms authentication zit trouwens de fout niet in; afaik zit de fout in het authenticatiemechanisme van de URLAuthorization. Hierdoor is Windows Authentication ook de klos. (zie ook: http://weblogs.asp.net/lb...ve/2004/10/02/237049.aspx)

De fout betreft alleen indien pagina's dmb web.config beveiligd worden op rollen / authenticated users. Ga je dmv de codebehind je code beveiligen, dan is er weinig aan de hand.

[ Voor 58% gewijzigd door gorgi_19 op 08-10-2004 11:15 ]

Digitaal onderwijsmateriaal, leermateriaal voor hbo

vrijdag 8 oktober 2004 12:52

Acties:

GrimaceODespair

eens een tettenman, altijd ...

Topicstarter

gorgi_19 schreef op 08 oktober 2004 @ 11:01:
Nieuw is ook dat IIS 6.0 / Win2k3 vulnerable is, terwijl dit in de eerste testen niet het geval leek. URLScan op de server installeren lijkt in eerste instantie een (tijdelijke) oplossing (en ook goed configureren).

Ah, goed dat je het zegt. Ik had na het lezen van een paar bronnen aangenomen dat w2k3 geen probleem zou zijn (kreeg het zelf ook niet gereconstrueerd, maar dat kan weer volledig aan mij liggen

).

Toch nog eens in duiken dan...

Zoals hier wordt verteld, lijkt de bug trouwens inderdaad niet zo netjes bekend te zijn gemaakt. Dat is misschien de weblog waar je het over hebt?

Wij onderbreken deze thread voor reclame:
http://kalders.be

vrijdag 8 oktober 2004 12:54

Acties:

gorgi_19

Kruimeltjes zijn weer op :9

GrimaceODespair schreef op 08 oktober 2004 @ 12:52:
Zoals hier wordt verteld, lijkt de bug trouwens inderdaad niet zo netjes bekend te zijn gemaakt. Dat is misschien de weblog waar je het over hebt?

Klopt, die bedoelde ik

Ah, goed dat je het zegt. Ik had na het lezen van een paar bronnen aangenomen dat w2k3 geen probleem zou zijn (kreeg het zelf ook niet gereconstrueerd, maar dat kan weer volledig aan mij liggen ).

[gokmodus]
Ik gok dat URLScan standaard op Win2k3 geinstalleerd staat, maar dat een foute configuratie van URLScan alsnog deze exploit mogelijk maakt.
[/gokmodus]

[ Voor 37% gewijzigd door gorgi_19 op 08-10-2004 13:00 ]

Digitaal onderwijsmateriaal, leermateriaal voor hbo

vrijdag 8 oktober 2004 15:35

Acties:

mindcrash

Rebellious Monkey

In IIS 6 is deels het resultaat van Lockdown en de features van URLScan geintegreerd. Ik heb overigens net even gekeken of ik Forms Authentication kon misbruiken van een asp.net site die op windows 2003 draait en het lukt me niet om met \ of %5C de beveiliging te omzeilen, maar misschien bestaat er toch nog een of andere creatieve manier om dit teken langs de beveiligingen in IIS 6 te smokkelen... (al hoewel ik niet zo snel zou weten hoe trouwens

)

Dus tot zover is IIS 6 niet exploitable, maar IIS 5 en 5.1 dus wel

[ Voor 12% gewijzigd door mindcrash op 08-10-2004 15:38 ]

"The people who are crazy enough to think they could change the world, are the ones who do." -- Steve Jobs (1955-2011) , Aaron Swartz (1986-2013)