Workaround für Verschlüsselungslücke bei ASP.NET-Servern

Microsoft hat auf die Verwundbarkeit des von ASP.NET-Anwendungen benutzten Verfahrens zum Verschlüsseln von Cookies und anderen Sitzungsdaten reagiert und einen Sicherheitshinweis für das Problem veröffentlicht. In der Ankündigung zum "Security Advisory" heißt es, dass Microsoft bislang keine Verletzungen durch die Attacke bewusst seien. Allerdings rät der Konzern, den Sicherheitshinweis zur Verringerung des Risikos oder für etwaige Workarounds ernstzunehmen. Ein Blog-Eintrag beschreibt dann noch, wie die Workarounds funktionieren, und stellt ein Skript zur Verfügung, das Administratoren helfen soll, zu bestimmen, ob ihre ASP.NET-Anwendungen verwundbar sind.

Die Ursache des Fehlers, auf den die beiden Sicherheitsspezialisten Juliano Rizzo und Thai Duong in der letzten Woche hingewiesen hatten, findet sich in der Art, wie das ASP.NET-Framework Daten verschlüsselt. Üblicherweise kommt dabei der Advanced Encryption Standard (AES) im Cipher-Block-Chaining-Modus (CBC) zum Einsatz. Dieser Modus ist jedoch für sogenannte Padding-Oracle-Attacken (PDF) anfällig, über die sich ohne Kenntnis des Schlüssels mitgelesene Daten entschlüsseln lassen. (ane)