Cette faille, de type « Padding Oracles Everywhere » selon le chercheur en sécurité Juliano Rizzo permettrait aux attaquants de déchiffrer les cookies et d'extirper les statistiques, les mots de passes et les données des utilisateurs (comme le numéro de sécurité social), en fait tout ce qui est chiffré avec l'API du framework.
En mettant la main sur ces données sensibles, un hacker mal intentionné pourrait utiliser l'exploit pour simuler un ticket d'identification et accéder à l'application avec des droits d'administrateur.
Plus techniquement, Juliano explique que l'attaque exploite l'implémentation boguée de l'algorithme de chiffrement symétrique : Advanced Encryption Standard (AES) largement utilisé sur les applications ASP.NET. Le maillon faible étant la gestion des erreurs par ASP.Net lorsque les données chiffrées dans les cookies sont modifiés.
Quand le texte encodé change, l'application vulnérable génère un message d'erreur qui expose des informations relatives au fonctionnement du processus de décryptage.
Plus d'erreurs signifient donc plus d'informations. Analyser plusieurs messages d'erreurs peut fournir à l'attaquant assez d'informations pour deviner la clé de chiffrement.
ASP.Net n'est pas la seule plateforme affectée par ces « padding oracle attacks », une faille par ailleurs connue depuis 2002.
Rizzo et son collègue Thai Duong ont pu démontrer la même faiblesse dans JavaServer Faces, Ruby on Rails et OWASP ESAPI.
Mais nos chercheurs ont – comme ils l'avouent eux-mêmes - choisi de faire du bruit autour de la plateforme de Microsoft afin d'attirer le maximum d'attention sur ce problème, Redmond étant généralement plus sujet aux critiques que les autres frameworks open-source, surtout en matière de sécurité.
Toujours dans le but de sensibiliser, Rizzo et Duong ont conçu et publié un utilitaire gratuit appelé POET (pour Padding Oracle Exploit Tool) capable de détecter cette faille... et de l'exploiter.
Dans un Livre blanc publié en mai dernier, les deux chercheurs espéraient sensibiliser l'ensemble des développeurs au danger de ces exploits et les encourager à les prendre aussi au sérieux que les injections SQL et les attaques type XSS.
En attendant que les développeurs des frameworks réagissent et sortent des patches, les chercheurs ne proposent aucune solution.
Mais ils déconseillent l'utilisation des algorithmes de chiffrement faits-maison, une démarche qu'ils jugent très risquée
Sources : developpez.com, Livre blanc sur POA (PDF), Présentation à la conférence ekoparty Security
W3CONSULTING
