¡No te pierdas nuestro contenido!

Quién sabe si continúa la fiesta en Argentina, pero formalmente la EkoParty terminó ayer a la noche, más tarde de lo que se suponía, en el Centro Cultural Konex. El evento de seguridad informática contó con muchas conferencias interesantísimas, pero desde el inicio se sabía que habría una estrella: Juliano Rizzo y Thai Duong presentarían una vulnerabilidad 0 day para ASP.NET.

ASP.NET es el entorno creado por Microsoft para competir con Java y es utilizado aproximadamente por el 25% de los sitios de Internet. Por otra parte, una vulnerabilidad es calificada como "0 day" cuando es, hasta el momento del anuncio, completamente desconocida: es decir, ni Microsoft ni ninguna otra persona en el mundo conocían esta vulnerabilidad, por lo que no hay manera de evitarla o detenerla.

La conferencia fue muy curiosa, ya que comenzaron explicando las cuestiones más técnicas sobre criptografía que hacen posible el ataque. Los conceptos eran fascinantes, pero había tensión en el aire: todos querían conocer, ver la vulnerabilidad. De todos modos, antes de hacerla pública, dedicaron unos minutos a comentar algunos de los problemas de seguridad más notables de ASP.NET. En principio, remarcaron el hecho de que viola la "regla dorada" del desarrollo web: no almacenes ningún dato de importancia crítica en el directorio raíz, ya que Web.config, el archivo de configuración más importante dentro del framework, se encuentra justamente en el directorio "root" y contiene información de usuarios y claves.

Además, la API de criptografía de ASP.NET no autentica los mensajes por defecto y no hay manera sencilla de generar las llaves: algunas veces son creadas en línea, nunca se cambian durante la vida de una aplicación y son utilizadas para todo. Con respecto a la vulnerabilidad, es explotada mediante el Padding Oracle Attack y permite al atacante (según el caso) pues bien, hacer prácticamente lo que desee.

Finalmente Juliano Rizzo y Thai Duong mostraron en una demo cómo funciona el ataque, llevado a cabo mediante POET, una herramientra creada por ellos y, como el código todavía no fue liberado, arrojaron al público al final de la conferencia tres pendrives con la herramienta cargada. Para estas horas, no quiero imaginar cuánta gente ya tiene en sus manos a POET (ni cuántos están experimentando con la vulnerabilidad por su propia cuenta).

Absolutamente todos los sitios desarrollados en ASP.NET son posibles víctimas y no hay nada que puedan hacer todavía para evitarlo. Microsoft, por su parte, publicó un Security Advisory en el que se hace eco de la vulnerabilidad, minimizando su gravedad y asegura que la está investigando, tras lo cual hará lo posible por ayudar a sus clientes. Microsoft dice que la vulnerabilidad "sólamente" permite que se filtre información, cuando depende de las aplicaciones que estén instaladas en el servidor, siendo posible que se comprometa el sistema por completo. De acuerdo a Microsoft todavía no ha sido reportado ningún ataque, pero aunque sea verdad no deberían hacerse esperar.