Aggiornamento sulla vulnerabilità di ASP.NET
Abbiamo pubblicato un nuovo post che suggerisce un ulteriore metodo di protezione alla vulnerabilità sulla sicurezza di ASP.NET.
E’ possibile aggiungere un ulteriore livello di difesa al workaround suggerito in precedenza. Il nuovo livello di difesa, che va aggiunto al precedente, viene applicato a livello di server web e richide poco tempo per applicarlo.
Per aggiungere questo livello di difesa bisogna installare ed abilitare il modulo di URL Scan, scaricabile da questi link:
Una volta installato bisogna trovare e modificare il file UrlScan.ini in questa directory:
- %windir%\system32\inetsrv\urlscan\UrlScan.ini
Verso la fine del file c’è la sezione [DenyQueryStringSequences], che va modificata aggiungendo “aspxerrorpath=” subito dopo l’intestazione, come si vede nel seguito:
[DenyQueryStringSequences]
aspxerrorpath=
Questa modifica blocca gli URL che hanno il parametro “aspxerrorpath=” in querystring, così che non raggiungano il motore di ASP.NET, restituendo invece un errore HTTP da parte del server.
Questa modifica offre un ulteriore strato di protezione non consentendo ad un attaccante di distinguere i tipi di errori HTTP che possono essere usati per condurre un attacco.
Una volta pubblicato l’aggiornamento per correggere questa vulnerabilità questo workaround non sarà più necessario, ma per il momento è consigliabile applicarlo.
Domande specifiche sulla vulnerabilità di ASP.NET possono essere fatte all’apposito forum.