• Tweet

Atacantes están tomando ventaja de un error 0-Day en el framework de aplicaciones Web ASP.Net de Microsoft, una vulnerabilidad que también afecta el software de SharePoint.

Microsoft ha enviado una alerta para informar a la gente acerca de los intentos de ataque sobre servidores de ASP.Net, dijo el martes en su blog el director de la compañía de informática de confianza Dave Forstrom.

"Acabamos de actualizar Microsoft Security Advisory 2416728 conforme vimos que empezaban a existir ataques limitados en la vulnerabilidad ASP.Net", dijo Forstrom. "Hemos añadido preguntas y respuestas, y animamos a los clientes a revisar esta información y evaluarla para su entorno."

La falla radica en cómo ASP.Net encripta la información. Un atacante puede enviar texto cifrado a un servidor web ASP.Net, y saber si el texto fue descifrado correctamente al examinar el código de error que es devuelto por el servidor web, de acuerdo con Scott Guthrie, vicepresidente corporativo de la división de desarrolladores de Microsoft.

Los atacantes pueden utilizar esta información para trabajar en cómo solicitar y descargar archivos confidenciales dentro de una aplicación ASP.Net, como el archivo web.config, dijo Guthrie. También pueden descifrar los datos encriptados enviados al cliente.

La plataforma de software de Microsoft SharePoint, también es vulnerable a la falla de cifrado de ASP.Net, dijo Guthrie en una lista de preguntas frecuentes publicada el lunes.

En un aviso publicado, el equipo de SharePoint de Microsoft dijo que la vulnerabilidad afecta a SharePoint 2010 y SharePoint 2010 Foundation. La compañía proporcionó una solución para la falla.

El fabricante de software está trabajando en un parche para la falla ASP.Net, que se dará a conocer a través de Windows Update una vez que la solución se haya probado, de acuerdo a Guthrie.