Researcher Menemukan Kelemahan Microsoft ASP.Net Security
Posted by K-159 on September 20 2010 12:36:40
Dua orang security researcher Thai Duong dan Juliano Rizzo, menemukan kelemahan pada mekanisme enkripsi yang biasa digunakan untuk memprotek cookies pada form autentikasi ASP.NET.

Sebelumnya Duong dan Rizzo mempresentasikan tentang "padding oracle attacks" pada BlackHat Europe 2010 lalu. "padding oracle attacks" dilakukan dengan mengirimkan chipertext tertentu ke oracle, dari error message yang muncul di analisa dan digunakan untuk mendecrypt data yang ada tanpa perlu tau encryption key nya.

awalnya Duong dan Rizzo menemukan "Padding oracle attacks" ini vulnerable pada beberapa platform seperti JSF dan Ruby on Rails, baru kemudian beberapa waktu lalu mereka menemukan bahwa "padding oracle attacks" ini ternyata vulnerable juga pada ASP.NET.

Duong dan Rizzo mempresentasikan dan mendemonstrasikan hasil riset mereka pada acara ecoparty confrence pada tanggal 17 september 2010 kemaren. Mereka mendemonstrasikan bugs ini dengan menggunakan dotnetnuke CMS, mereka memakai POET tools untuk mengirimkan ciphertext tertentu ke server ASP.NET, kemudian dari error message yang ada digunakan untuk menebak "Machine Key" dan "Validation Key" yang ada pada web.config ASP.NET nya. Dari "Machine Key" dan "Validation Key" inilah mereka lalu mengenerate cookies superuser yang dipakai untuk login pada dotnetnuke nya.
Extended News
Dua orang security researcher Thai Duong dan Juliano Rizzo, menemukan kelemahan pada mekanisme enkripsi yang biasa digunakan untuk memprotek cookies pada form autentikasi ASP.NET.

Sebelumnya Duong dan Rizzo mempresentasikan tentang "padding oracle attacks" pada BlackHat Europe 2010 lalu. "padding oracle attacks" dilakukan dengan mengirimkan chipertext tertentu ke oracle, dari error message yang muncul di analisa dan digunakan untuk mendecrypt data yang ada tanpa perlu tau encryption key nya.

awalnya Duong dan Rizzo menemukan "Padding oracle attacks" ini vulnerable pada beberapa platform seperti JSF dan Ruby on Rails, baru kemudian beberapa waktu lalu mereka menemukan bahwa "padding oracle attacks" ini ternyata vulnerable juga pada ASP.NET.

Duong dan Rizzo mempresentasikan dan mendemonstrasikan hasil riset mereka pada acara ecoparty confrence pada tanggal 17 september 2010 kemaren. Mereka mendemonstrasikan bugs ini dengan menggunakan dotnetnuke CMS, mereka memakai POET tools untuk mengirimkan ciphertext tertentu ke server ASP.NET, kemudian dari error message yang ada digunakan untuk menebak "Machine Key" dan "Validation Key" yang ada pada web.config ASP.NET nya. Dari "Machine Key" dan "Validation Key" inilah mereka lalu mengenerate cookies superuser yang dipakai untuk login pada dotnetnuke nya.

Microsoft sudah merespon dan mengeluarkan advisory untuk bugs ini . mitigasi yang disarankan adalah dengan mengubah tag customErrors pada web.config di mana tag customErrorsnya di pointing ke page error tertentu yang tidak memberikan feedback ke sender.

" customErrors mode="On" defaultRedirect="~/error.html" "

Mungkin ada yang bertanya, seberapa massive kah efek dari bugs ini?
Duong mengatakan bahwa bugs ini bisa berdampak sangat luas dan massive, karena banyak dari aplikasi ibanking dan pembayaran online yang memakai ASP.NET.

Paper Duong dan Rizzo tentang "Padding Oracle Attacks" pada BlackHat Europe 2010
Video Poc Demo Duong dan Rizzo pada Ecoparty Confrence
POET tools exploit