Falhas no sistema de criptografia do framework ASP.Net deixam aplicações bancárias abertas para ataque

Pesquisadores do netifera research desenvolveram uma ferramenta que explora uma falha no sistema de criptografia AES do framework ASP.Net, da Microsoft. A falha no servidor permite que se descriptografe cookies interceptados ou forge tickets de autenticação. A ferramenta se chama Padding Oracle Exploit Tool, demonstra a possibilidade do ataque.

O pesquisador Juliano Rizzo afirma: “De maneira resumida, você pode decriptar cookies, ver estados, tickets de autenticação de formulário, senhas, dados dos usuário, e tudo que esteja encriptado usando a API do framework. As vulnerabilidades encontradas afetam o framework utilizado em 25% dos sites da internet. O impacto do ataque depende das aplicações instaladas, mas vai desde a simples disponibilização de informações até comprometimento total do sistema.” Rizzo diz ainda que “um atacante com conhecimentos moderados poderia quebrar a segurança de um site em uma hora ou menos”.

Fonte: Crypto weakness leaves online banking apps open to attack · The Register

Foto: netifera research.