SharePoint Afetado por Vulnerabilidade no ASP.NET

Em uma postagem no blog da equipe do SharePoint, a Microsoft afirmou que o SharePoint Server é afetado por umavulnerabilidade em ASP.NET. Até agora, a Microsoft não deu qualquer informação específica sobre quais aplicações ASP.NET estariam vulneráveis. Segundo a empresa, o SharePoint 2010, SharePoint Services 2010, Microsoft Office SharePoint Server 2007, Windows SharePoint Services 3.0 e o Windows SharePoint Services 2.0 são todos afetados pelo problema em questão. O SharePoint Portal Server 2003 não foi afetado pela vulnerabilidade.

A Microsoft está trabalhando em criar uma solução para o problema no framework .NET, nas versões 1.0 a 4.0 SP3. Como uma alternativa até que uma solução para este problema realmente esteja disponível, a empresa está aconselhando os usuários a bloquear a exibição de mensagens de erro do servidor, e todas as instruções sobre como fazer isso podem ser encontradas no Microsoft's Security Advisory. Na opinião de Thai Duong, um dos descobridores dessa vulnerabilidade, a proteção oferecida para sanar o problema é inadequada.

A vulnerabilidade é o resultado da aplicação incorreta das funções de criptografia e pode ser explorada remotamente para leitura de valores específicos (ViewState), cookies e para baixar arquivos de servidores sem que haja uma autorização prévia. O Padding Oracle Exploitation Tool (Poet) é capaz de tirar vantagem das vulnerabilidades deste tipo através de mensagens de erro retornadas pelo servidor, em resposta aos pacotes específicos. A Microsoft lançou uma ferramenta que é capaz de "farejar" aplicativos que apresentem algum tipo de vulnerabilidade.


Saiba Mais:

[1] Technet Blog: http://blogs.technet.com/b/srd/archi...erability.aspx