In einem Security Advisory beschreiben meine US-Kollegen eine Schwachstelle in ASP.net. Betroffen sind sämtliche Windows-Versionen von Windows XP bis einschließlich Windows 7 und Windows Server 2008 R2 und alle Varianten des .NET-Frameworks. Potentiell sind daher alle auf ASP.NET basierenden Anwendungen betroffen, darunter auch Outlook Web Access oder Microsoft Sharepoint.

Missbraucht ein Angreifer die Lücke, kann er vom Zielserver verschlüsselte Daten wie die in ViewState gespeicherten Passwörter oder Datenbankverbindungsinformationen sichtbar machen sowie Daten wie web.config vom Server lesen. Auch Cookies und andere Sitzungsdaten sind betroffen. Auf diese Weise könnte der Angreifer Daten auf dem Server verfälschen. Sendet der Angreifer veränderte Inhalt zurück an den betroffenen Server, könnte er die vom Server zurück geschickten Fehlercodes auswerten. Ein englischsprachiger Blog-Eintrag liefert weitere technische Details zur Sicherheitslücke.

Microsoft weiß von einigen Attacken, die die beschriebene Schwachstelle missbrauchen. Sind die derzeit andauernden Untersuchungen der Lücke abgeschlossen, wird Microsoft entsprechende Schritte ergreifen. Je nach dem, was den Kunden am dienlichsten ist, kann das auch ein Sicherheitsupdate im Rahmen des monatlichen Updatezyklus oder ein Update außer der Reihe (Out of Band) sein.

Im Advisory beschreiben die US-Kollegen in der Sektion „Workarounds“ auch, wie sich die Auswirkungen der Schwachstelle minimieren lassen, bis eventuell ein Sicherheitsupdate bereit steht.