Microsoft investiga un problema en ASP.NET

Microsoft está investigando una vulnerabilidad sobre la que han sido informados que afectaría a la plataforma ASP.NET. La vulnerabilidad en la tecnología ASP.NET de Microsoft puede ser utilizada por un atacante para acceder a áreas protegidas mediante contraseña alterando la URL.

Este problema es específico de ASP.NET, no afecta a ASP y podría deberse a que dicha plataforma no realiza correctamente el proceso de canonización de algunas URLs. El problema afecta a los sitios web que usen cualquier versión de esta plataforma sobre Windows 2000, 2000 Server, XP Professional y 2003 Server.

Aunque la información proporcionada por el momento es escasa, cabe señalar que no es habitual que Microsoft adelante información sobre vulnerabilidades, lo que levanta las sospechas sobre la gravedad del problema. Todo indica que la vulnerabilidad debe ser fácil de explotar, en la que bastaría modificar o añadir un carácter en la URL para permitir el acceso a contenidos sin autorización.

El artículo del Knowledge Base 887459 (“Programmatically Checking for Canonicalization Issues with ASP.NET”) describe formas de añadir mecanismos adicionales de protección contra problemas de este tipo, por lo que se recomienda su lectura y aplicación en los programas que pudieran verse afectados.

Aunque todos los detalles del problema aun están por desvelar, Microsoft ha adelantado información de seguridad en su web, además de publicar un módulo HTTP de SP.NET que los administradores de sitios web pueden aplicar a su servidor web. Este módulo protegerá las aplicaciones ASP.NET contra este nuevo problema.