Pesquisadores do netifera research desenvolveram uma ferramenta que explora uma falha no sistema de criptografia AES do framework ASP.Net, da Microsoft. A falha no servidor permite que se descriptografe cookies interceptados ou forge tickets de autenticação. A ferramenta se chama Padding Oracle Exploit Tool, demonstra a possibilidade do ataque.

O pesquisador Juliano Rizzo afirma: “De maneira resumida, você pode decriptar cookies, ver estados, tickets de autenticação de formulário, senhas, dados dos usuário, e tudo que esteja encriptado usando a API do framework. As vulnerabilidades encontradas afetam o framework utilizado em 25% dos sites da internet. O impacto do ataque depende das aplicações instaladas, mas vai desde a simples disponibilização de informações até comprometimento total do sistema.” Rizzo diz ainda que “um atacante com conhecimentos moderados poderia quebrar a segurança de um site em uma hora ou menos”.

Fonte: Crypto weakness leaves online banking apps open to attack · The Register

Foto: netifera research.