Tweet
Hackers começam a explorar falha crítica no ASP.Net
A Microsoft alertou usuários que hackers começam a explorar a falha sem correção presente no ASP.Net, que permite o seqüestro de sessões criptografadas na web.
Em uma atualização de um alerta publicado na última segunda-feira (20/9), a empresa afirmou que estava analisando “ataques limitados e ativos neste momento”. A Symantec, que tem uma enorme rede global de sensores e sistemas honey-trap (armadilhas para detectar ataques) para capturar exploits, disse que não tinha visto nenhum ataque, no entanto.
A vulnerabilidade existe em todas as versões do ASP.Net, plataforma da empresa para aplicativos da Web, usada para criação de milhões de sites e aplicativos. O bug permite que crackers acessem aplicativos Web com direitos completos de administrador; dessa forma, eles podem descriptografar os cookies de sessão ou outros dados criptografados em um servidor remoto, além de acessar arquivos de um site ou aplicativo da Web.
A empresa reiterou o compromisso de corrigir a vulnerabilidade, mas, como na semana passada quando reconheceu o bug, não definiu uma data de entrega para a correção.
"Nós vamos lançar um patch no Windows Update, então todas as máquinas vão buscá-lo", disse Scott Guthrie, o executivo da Microsoft, que comanda a equipe de desenvolvimento ASP.Net.
As próximas atualizações de segurança regulares estão programadas para o dia 12 de outubro, Ocasionalmente, patches de emergência - chamados de atualizações "out-of-band" - para resolver os problemas como o do ASP.Net, quase sempre aparecem após os ataques.
Até que a empresa lance uma correção, Guthrie continua recomendar que sites e desenvolvedores de aplicativos para tapem o buraco com uma solução temporária que envolve a edição do arquivo "web.config".
O SharePoint Server 2007 e o SharePoint 2010 também estão vulneráveis a ataques ASP.Net, disse a Microsoft. A equipe do SharePoint publicou diferentes instruções web.config com edições de alto nível no software de colaboração.
A Microsoft não estava subestimando a ameaça de sites e aplicações. "O exploit pode ser usado contra todos os tipos de aplicações ASP.NET", disse Guthrie em um FAQ que ele postou segunda-feira.
"Todos os sites que usam o ASP.NET são afetados por esta vulnerabilidade", ecoou Kevin Brown, um engenheiro da Microsoft Security Response Center (MSRC).
Em uma atualização de um alerta publicado na última segunda-feira (20/9), a empresa afirmou que estava analisando “ataques limitados e ativos neste momento”. A Symantec, que tem uma enorme rede global de sensores e sistemas honey-trap (armadilhas para detectar ataques) para capturar exploits, disse que não tinha visto nenhum ataque, no entanto.
A vulnerabilidade existe em todas as versões do ASP.Net, plataforma da empresa para aplicativos da Web, usada para criação de milhões de sites e aplicativos. O bug permite que crackers acessem aplicativos Web com direitos completos de administrador; dessa forma, eles podem descriptografar os cookies de sessão ou outros dados criptografados em um servidor remoto, além de acessar arquivos de um site ou aplicativo da Web.
A empresa reiterou o compromisso de corrigir a vulnerabilidade, mas, como na semana passada quando reconheceu o bug, não definiu uma data de entrega para a correção.
"Nós vamos lançar um patch no Windows Update, então todas as máquinas vão buscá-lo", disse Scott Guthrie, o executivo da Microsoft, que comanda a equipe de desenvolvimento ASP.Net.
As próximas atualizações de segurança regulares estão programadas para o dia 12 de outubro, Ocasionalmente, patches de emergência - chamados de atualizações "out-of-band" - para resolver os problemas como o do ASP.Net, quase sempre aparecem após os ataques.
Até que a empresa lance uma correção, Guthrie continua recomendar que sites e desenvolvedores de aplicativos para tapem o buraco com uma solução temporária que envolve a edição do arquivo "web.config".
O SharePoint Server 2007 e o SharePoint 2010 também estão vulneráveis a ataques ASP.Net, disse a Microsoft. A equipe do SharePoint publicou diferentes instruções web.config com edições de alto nível no software de colaboração.
A Microsoft não estava subestimando a ameaça de sites e aplicações. "O exploit pode ser usado contra todos os tipos de aplicações ASP.NET", disse Guthrie em um FAQ que ele postou segunda-feira.
"Todos os sites que usam o ASP.NET são afetados por esta vulnerabilidade", ecoou Kevin Brown, um engenheiro da Microsoft Security Response Center (MSRC).
