A Microsoft lançará amanhã um patch urgente para o ASP.NET, corrigindo um problema grave no seu framework.
A falha foi exibida por Juliano Rizzo, divulgada na conferência de segurança ekoparty. O atancante pode facilmente descriptografar cookies, obter informações dos usuários, tickets de autenticação e praticamente qualquer outra coisa criptografada usando a API do ASP.NET. Pode-se, por exemplo, obter acesso de administrador a algum CMS explorando a brecha. No vídeo abaixo há um demo onde o atacante consegue se logar no DotNetNuke:
Há algumas informações de ajuda e workarounds para quem administra os servidores Windows.
A empresa afirma que observou ataques limitados, apesar de não serem em larga escala, são extremamente graves para os donos dos sites. A correção será lançada no centro de downloads antes de aparecer no Windows Update.
Naturalmente isso não afeta usuários domésticos, somente servidores com alguma versão do ASP.NET.
Veja mais detalhes na TechNet.
