Lỗi nằm trong tiến trình được sử dụng bởi các ứng dụng ASP.NET để mã hóa cookie và các thành phần thông tin khác. Lỗi này được hai chuyên gia bảo mật Dương Ngọc Thái và Juliano Rizzo công bố.

Theo Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) thì lỗi nguy hiểm trên dẫn tới việc kẻ tấn công có thể thăm dò để tìm ra khóa giải mã trong một thời gian ngắn. Cụ thể là kẻ tấn công khai thác vào lỗ hổng này có thể tìm ra khóa giải mã để đọc nội dung những thông tin đã được mã hóa. Từ đó, kẻ xấu có thể thực hiện các thao tác tấn công leo thang để chiếm quyền điều khiển hệ thống.

Microsoft xác nhận lỗi này ảnh hưởng đến tất cả các phiên bản của ASP.NET. Theo đó, nếu lỗi được tin tặc triển khai khai thác thì khoảng 25% website đang sử dụng ASP.NET trên toàn cầu sẽ bị đe dọa.

"Đó là chưa kể một số lượng rất lớn các ứng dụng nội bộ của các doanh nghiệp. Ở VN, theo quan sát của tôi, mức độ ảnh hưởng còn nghiêm trọng hơn. Rất nhiều ngân hàng và tổ chức tài chính lớn sử dụng ASP.NET để phát triển các website quan trọng như Internet Banking hay giao dịch chứng khoán. Khai thác lỗ hổng này, kẻ tấn công có thể “chôm” tài khoản của khách hàng hoặc thậm chí xâm nhập vào máy chủ của các tổ chức này", chuyên gia bảo mật Dương Ngọc Thái nhận định.

Hiện chưa có bản vá chính thức từ Microsoft. Hãng này sẽ phải phát hành bản vá cho từng phiên bản của hệ điều hành Windows, từ XP SP3 cho đến Windows Server 2003, Windows 7 và Server 2008 R2 cũng như máy chủ web IIS và SharePoint.

Nhóm nghiên cứu bảo mật của Microsoft đã cung cấp thông tin cách xử lý tạm thời và một gói mã để giúp những quản trị viên kiểm tra các lỗi cấu hình cho những ứng dụng ASP.NET. Bạn đọc quan tâm có thể tham khảo tại đây hoặc từ website ASP.NET.

Theo TuoiTre