Microsoft confirma vulnerabilidad zero-day en ASP.NET

Aspnet

Antes de que finalice el año, Microsoft ha tenido que publicar un nuevo aviso de seguridad para alertar a los usuarios de la existencia de una vulnerabilidad zero-day que afecta a la plataforma ASP.NET.

De acuerdo con el gigante de Redmond, dicho agujero de seguridad afecta a todas las versiones de .NET Framework y puede ser aprovechada por un atacante para cometer ataques de denegación de servicio contra servidores que sirven páginas ASP.NET. Tan sólo los sitios que ofrecen contenido estático o tienen desactivado el contenido dinámico no son vulnerables, pero el resto puede ser propenso en cualquier momento a un ataque.

En su alerta de seguridad, Microsoft detalla que la vulnerabilidad es provocada por un error en la forma en que ASP.NET maneja los valores en determinadas solicitudes, lo cual provoca una colisión de hash. Esto permite a un atacante enviar un reducido número de envíos maliciosos a un servidor ASP.NET, causando una considerable baja de rendimiento que resulta en una denegación de servicio.

Andrew Storms, director de la firma de seguridad nCircle, explicó que este tipo de vulnerabilidad DoS no es como la mayoría de ataques de denegación de servicio ya que no hace falta un botnet o coordinar múltiples peticiones para saturar una web. «En este caso, una sola petición puede consumir todo un procesador por 90 segundos. Bastaría con algunos cuantas peticiones durante algunos minutos para conseguir dejar offline el sitio».

Microsoft asegura que hasta el momento no se han reportado ataques utilizando de esta vulnerabilidad, pero eso no impide que más adelante los cibercriminales empiecen a sacar provecho de ello. En tanto se lanza una actualización de seguridad (posiblemente hasta la próxima entrega de parches), Microsoft ha puesto a disposición de los usuarios algunas soluciones temporales y recomendaciones con los que los usuarios y administradores pueden mitigar el fallo.

Scroll al inicio