Koliko vidim ovako na prvi pogled propust jeste stvaran ali je pretnja debelo precenjena. SSL ce u startu ovo sve pokvariti napdacima. Uostalom, mislim da postoji jednostavan i efikasan nacin da se spreci ovaj exploit.
Sutra, kasno je sada.

pa zavisi u stvari, nisam ekspert kad je ASP u pitanju
ali ono sto je kod ovog napada zanimljivo jeste da ne omogucava samo dekripciju
vec i enkripciju, znaci izmenu cookie-a/state-a u nesto drugo, sto bi bilo validno
za tako nesto ti ne treba usnifovan cookie

mada, najbolje da vidimo sta je tacno u pitanju

Ja ne znam sta su oni osmislili ali ja uopste nisam uspeo da reprodukujem PO napad kako oni pricaju.

Padovao sam session cookie i nisam dobio oracle response da je padding invalid, ni direktno ni indirektno, u svakom slucaju sem originalnog session cookie-a jednostavno zapocne novu sesiju.
Sta vise po dokumentaciji session cookie je enc&sign po defaultu. Stvarno ne kontam kako ovde moze da prodje PO napad?

Edit: Evo prckao sam i sa paddingom viewstate-a i opet nista (viewstate je takodje mac protected)

_{[Ovu poruku je menjao mmix dana 15.09.2010. u 11:14 GMT+1]}

da , to i mene cudi, mac bi trebalo da radi svoj posao
cak i u objavljenom tekstu kazu kako je najprostiji nacin da se ovo resi enc&mac


ne znam sta su smislili, ali od par ljudi koji znaju se cuje da stvar nije nimalo bezazlena (tomas ptacek i nate lawson) , inace me nebi cudilo da je FUD (slicno kao sto je prosle godine bilo za kaminskog i DNS, ljudi pricali da je FUD, a covek bukvalno pokvario internet:) )

danas je juliano trazio na twitteru da mu ljudi daju predlog za aplikaciju za DEMO
ekoparty je poceo , videcemo :)

ptacek je negde pomenuo bio da im je dovoljan samo response type , tj 404 , 500 ili 200

mozda ima nesto u ASPu sto izaziva 404?

jedino ako na asp strani oni rade prvo dekripciju pa autentikaciju, mada to tesko, a i to bi bio timing napad

ne znam, ne znam dovoljno o asp-u da bi mi nesto palo na pamet , mora da ima neka suptilna promena u odgovoru
prvo sto mi je palo na pamet je timing napad, ali su oboica rekli da to nije slucaj

Ok, ali ponasanje koje sam ja video je bilo bez greske, jednostano ako viewstate nije validan ponasa se kao da je stranica iznova ucitana. Doduse, hmm, ja nisam ni gurao do kraja da nadjem validan padding. Mozda za njega izbaci exception...

gde si testirao?

ptacek :


zato i mislim da ima neka subtilna promena u odgovoru

Testirao sam na svojoj asp.net aplikaciji. Ako je univerzalni napad na asp.net mora da funkcionise i za moj prosti sample site.

prvo demonstracija:
http://www.youtube.com/watch?v=yghiC_U2RaM

zatim par reci iz majkrosofta:
http://www.microsoft.com/technet/security/advisory/2416728.mspx

i

http://blogs.technet.com/b/srd...the-asp-net-vulnerability.aspx

jos nisam siguran sta je u pitanju , ovo resenje iz MSa mi je fishy , mada na videu pokazuju
da su custom error ugasene
ako jeste problem jedino u tom customErrors podesavanju, onda priznajem da je _mozda_
previse naduvana prica, mada ko zna koji procenat aplikacija to ima ...
ako je to u pitanju , moram priznati da sam malo razocaran :(


i ova glupost
http://visualstudiomagazine.co...9/14/aspnet-security-hack.aspx

nema veze sa zivotom , ko pise ove stvari?


inace, komentari na celu stvar po forumima i grupama su zaprepascujuci ,
prosto neverovatno koliko se ljudi pravi pametno oko stvari koje ne razumeju


you gotta love crypto !

_{[Ovu poruku je menjao EArthquake dana 18.09.2010. u 10:08 GMT+1]}

julianor: "What we can say is the setting of CustomErrors is _irrelevant_. We presented this at EKOPARTY, and we're going to release the slide deck soon."

izgleda da su MSovci pogresili negde

thaidn: "error message setting is irrelevant. no error? there's always HTTP status. always the same HTTP status? there's always big timing different"

izgleda da sam ga ipak uboo, sad sam 95% siguran da je problem sto ASP prvo dekriptuje pa onda radi MAC i da ta razlika sluzi kao tajming napad

znaci u slucaju da padding nije validan , do greske ce doci u dekripciji
a za slucaj da je padding validan , do greske ce doci u HMAC delu

(hahaha, al sam se ja nalozio na ovo :) )


_{[Ovu poruku je menjao EArthquake dana 18.09.2010. u 10:48 GMT+1]}

Moze ovo sve da se resi prosto, sad kad znam o cemu se radi. Nemam sad VS ovde u tazbini ali poenta je zaskociti unhadled exception za oba ova slucaja, u oba slucaja uci u rutinu koja ce resetovati output stream, vratiti HTTP 200 i poslati radnom broj paketa sa random informacijama sa random pauzicama izmedju, sve u istom response threadu. Pa nek se slikaju, ta dva exceptiona ionako signaliziraju tampering i napad pa nek trenduju random generator ako mogu

A to sto ljudi lupaju welcome to my world, zahvaljujuci apstrakciji .net svet se nakupio svakavih. I svi su puni sebe, citiraju neke paterne a aplikacije im kolju exploiti koje ne mogu da sprece jer pojma nemaju kako sve to funkcionise ispod sve te njihove apstrakcije. Mozda zato i tipuju da je bug opasan?

mislim da sam cak negde procitao od MSa da savetuju ubacivanje random sleep-ova
kao workaround

bug jeste opasan , i treba da se patchuje na nivou platforme , znaci zdravorazumski
prvo MAC pa onda sve ostalo
najbolja praksa kao i svuda, ogranicis napadacu kolicinu koda do koje moze da dopre,
sto ga pre iseces , manje su sanse za stetu ...

da ne pominjem da nije bas pametno slati bilo kakve poverljive informacije klijentu i oslanjati se kasnije na njihovu ispravnost, session id cookie i kraj

mada i ova druga opcija ima svojih prednosti, web farm, ofloadovanje servera ...

Da bi pokvario zabavu , sacekajte par mjeseci i vidite sami.
Ne funkcionise jer vecina sajtova radi drugaciji pristup cookie od pomenutog.
kraj price :)

Drugaciji kako? Session cookie je session cookie, njega ne emituje tvoja aplikacija vec sam asp.net

moja greska.
imao sam osjecaj da se radi o dotnuke i na nacinu kako pravi cookie sesione.
Ali avaj tuga mrak i vlaga su se uvukle u asp.net , jedino sto mozemo da uradimo jeste da zivimo u strahu !
:D
ma ovo je 100% tacno za sve asp masine, medjutim kao sto rekosmo niko nije vidio da kazem neki da radi pa ono sad ne mogu da kazem.

al bruka miljenko bruka :D

evo i prezentacije
http://netifera.com/research/p...clesEverywhereEkoparty2010.pdf

POET -> remote code execution -> Cesar’s Token Kidnapping -> ROOT privilege on Windows.


E vala, malo su ga preterali Uostalom, random timing i gutanje enc exceptiona resava problem univerzalno za asp.net i tu je blokada na mestu, al valjda moraju malo da milkuju ovo.

A stvarno bi voleo da vidim na koji nacin mogu da povuku web.config i da zaobidju ISAPI handler u IISu bez kompromitovane masine, a ako vec imaju kompromitovanu masinu koji ce im POET uopste.

ne znam dovoljno o ASPu pa necu da lupam
novi tool, izgleda bez tajming napada doduse
http://blog.mindedsecurity.com...gating-net-padding-oracle.html
nisam probao doduse

a sto se zastite tice, umesto random sleepova, vise mi se svidja ideja o prostom WAFu , tipa ISAPI filter koji bi blokirao ovo

Pa kontam da ce biti neko sistemsko resenje u modifikaciji ISAPIa ali do tada ko je paranoid moze da se zastiti sa par linija koda.

izasao patch
nisam gledao sta su menjali
problem s krpljenjem kripto propusta su prethodno enkriptovani podaci
kasinije cu da pogledam patch

bas ovih dana radim verovatnocu i statistiku dosta, random sleep-ovi bi
se dali prepoznati kao sum verovatno sa malo muke,
posto je trajanje operacija konstantno, a random sleep se
iskljucivo dodaje , definitivno otezava napad, ali bi se dalo uraditi
tako da to resenje nebi bilo potpuno

a sto se tice web.config-a
nesto na ovu foru je u pitanju verovatno:
mislim da misle na ajax app-ove , i ScriptResource.axd
a posto imas mogucnost da enkriptujes sta god hoces, i
da server to prihvati...