Microsoft在ASP.NET中发布DoS零日漏洞的解决方法

创投2020-08-21 17:39:09
导读 根据安全公告,Microsoft已发布针对ASP NET漏洞的变通办法,以帮助保护网站免受潜在的拒绝服务(DoS)攻击。Microsof

根据安全公告,Microsoft已发布针对ASP.NET漏洞的变通办法,以帮助保护网站免受潜在的拒绝服务(DoS)攻击。Microsoft Trustworthy Computing主管Dave Forstrom在Microsoft安全响应中心博客上写道,已公开披露的漏洞会影响所有受支持的.NET框架版本,但Microsoft“不知道”目前正在利用该漏洞进行的任何野蛮攻击。 12月28日。当Microsoft正在开发修补程序以解决该错误时,Forstrom并未指出何时可提供此修复程序。

MSRC工程师Suha Can和Jonathan Ness在安全研究与防御博客上写道,匿名攻击者可以利用零日漏洞来有效地消耗Web服务器上的所有CPU资源,从而导致拒绝服务。

该漏洞利用包含数千个表单值的特制HTTP请求来创建哈希表,该哈希表在计算上非常昂贵。这篇文章说,任何接受表单数据的ASP.NET网站,以及启用了ASP.NET时运行Internet信息服务(IIS)默认配置的Web服务器都可能受到攻击。

Forstrom写道:“我们的团队正在全球范围内全天候工作,以开发适当质量的安全更新来解决该问题。”

根据安全公告,Microsoft建议的解决方法修改Web和应用程序主机配置文件,以定义ASP.NET接受的请求大小的最大限制。微软表示,降低该限制还将降低ASP.NET服务器和Web应用程序的“敏感性”。每当发送超过最大限制的请求时,配置更改将导致服务器返回错误。但是,允许用户上传文件的应用程序可能会受到配置更改的影响。

在ASP.NET平台上,大小仅为100KB的HTTP请求可以锁定单个CPU内核的100%的时间将近2分钟。攻击者可能会反复发送这些请求,并导致服务器的性能大幅下降并导致拒绝服务。Can和Ness说,这些请求甚至可能影响多核服务器和服务器群集。

nCircle安全运营总监Andrew Storms告诉eWEEK,利用此漏洞的攻击与典型的DoS攻击有所不同,因为它们不需要僵尸网络或大量的协作来关闭Web服务器。他说,尽管大多数DoS攻击都依赖大量的小请求来淹没Web服务器,但在这种情况下,单个请求可能会消耗单个核心90秒钟。

Storms说:“每隔几分钟就对其中一些请求进行排队,该站点实际上将被关闭。”

安全研究人员Julian W?lde和Alexander Klink在12月28日于德国举行的混沌通信大会会议上提出了攻击Web应用程序框架的新方法。他们还在gmane.comp.security完整披露邮件中发布了该漏洞的详细信息。清单。

零日漏洞并不是ASP.NET独有的,受影响的产品列表包括PHP 4和5,Java,Apache Tomcat和Geronimo,Jetty,Oracle Glassfish,Python,Plone,CRuby 1.8,JRuby和Rubinius v8。到完整披露清单上的职位。Can和Ness写道,尽管没有狂野的主动攻击,但微软预计“即将”发布利用代码。

Storms预测其他供应商将发布类似的零日公告,并针对其他平台提出缓解建议。Apache软件基金会安全团队的Mark Thomas告诉eWEEK,Apache已经为7.0.x和6.0.x更新了Tomcat,并计划将其发布为5.5.x。其他供应商未响应查询。

暴风雨说:“每年假期前后,我们都会进行安全演习,今年也不例外。”

Storms预测,微软可能会在本周的某个时候“很快”发布一个紧急补丁。Storms说,测试和部署紧急补丁对大多数企业IT团队可能构成挑战,因为它们可能正在“运行基础架构人员”。

Microsoft建议,ASP.NET网站所有者应查看该通报,以“评估拒绝服务的风险”,并实施变通办法和攻击检测机制来保护站点,直到安全更新可用为止。据Forstrom称,该公司还通过Microsoft Active Protections计划与合作伙伴合作,以帮助在其他软件产品中建立保护。

免责声明:本文由用户上传,如有侵权请联系删除!