ASP.NETにデータ漏えいのセキュリティホールが存在--マイクロソフトが認める

　Microsoftはセキュリティアドバイザリを公開し、同社のウェブアプリケーションフレームワークである「ASP.NET」に、情報漏えいの恐れがある未パッチのセキュリティーホールが存在することを認めた。

　この脆弱性は、9月第3週にアルゼンチンで開催されたekopathyセキュリティカンファレンスで議論されたもので、ASP.NETの暗号処理の実装に問題があり、攻撃者が秘密情報を復号化したり、改ざんすることが可能になる。

　例えば、対象となるASP.NETアプリケーションが秘密情報（パスワードやデータベース接続文字列など）をViewStateオブジェクトに保持している場合、このデータは漏えいする可能性がある。「ViewStateオブジェクトは暗号化され、非表示のフォーム変数でクライアントに送信されるため、この攻撃の標的になる可能性がある」とMicrosoftは説明している。

　ASP.NETアプリケーションがASP.NET 3.5 SP1またはそれ以降のバージョンを使用している場合、攻撃者はこの暗号化の脆弱性を使用して、ASP.NETアプリケーション内にある任意のファイルの内容を要求できる。一般に公開された情報で、このテクニックを利用して、web.configの内容を引き出すデモンストレーションが行われた。ワーカープロセスがアクセスできるASP.NETアプリケーション内のすべてのファイルが、攻撃者に返される。

　Microsoftは、現時点では報告された脆弱性を利用しようとする攻撃や、顧客への影響があるとは認識していないと述べている。

　ただし、この脆弱性を自動的に発見し、悪用するツールがすでに公開されていることに注意する必要がある。

　この脆弱性に関する情報を開示した研究者であるJuliano Rizzo氏によれば、攻撃者はクッキーやView State、フォーム認証チケット、メンバーシップパスワード、ユーザーのデータ、そしてASP.NETフレームワークのAPIを用いて暗号化されたあらゆる情報を簡単に復号化できるという。

　Rizzo氏は、この脆弱性はインターネット上にあるウェブサイトの25％で使用されているフレームワークに影響を及ぼすという。同氏は「この攻撃の影響は、サーバにインストールされているアプリケーションによって異なり、情報漏えいから完全なシステムのセキュリティ侵害まであり得る」と述べている。

　Microsoftはセキュリティアドバイザリで、回避策と推奨されるアクションを提供している。