Νωρίτερα αυτή την εβδομάδα, η Microsoft επιδιορθώνει μια ευπάθεια που είχε επισημανθεί με την “υψηλότερη ποτέ” βαθμολογία σοβαρότητας που έλαβε από ένα ελάττωμα ασφαλείας του ASP.NET Core.
Αυτό το σφάλμα λαθρεμπορίου αιτήματος HTTP (CVE-2025-55315) βρέθηκε στον διακομιστή ιστού Kestrel ASP.NET Core και δίνει τη δυνατότητα σε επαληθευμένους εισβολείς να μεταφέρουν παράνομα ένα άλλο αίτημα HTTP για να παραβιάσουν τα διαπιστευτήρια άλλων χρηστών ή να παρακάμψουν τους ελέγχους ασφαλείας του front-end.
“Ένας εισβολέας που εκμεταλλεύτηκε επιτυχώς αυτήν την ευπάθεια θα μπορούσε να δει ευαίσθητες πληροφορίες, όπως τα διαπιστευτήρια άλλων χρηστών (Εμπιστευτικότητα) και να κάνει αλλαγές στα περιεχόμενα των αρχείων στον διακομιστή προορισμού (Integrity) και μπορεί να είναι σε θέση να εξαναγκάσει ένα crash εντός του διακομιστή (Availability)”, δήλωσε η Microsoft σε μια Συμβουλευτική Τρίτη.
Για να διασφαλιστεί ότι οι εφαρμογές ASP.NET Core τους είναι ασφαλείς από πιθανές επιθέσεις, η Microsoft συμβουλεύει τους προγραμματιστές και τους χρήστες να λάβουν τα ακόλουθα μέτρα:
- Εάν εκτελείται .NET 8 ή νεότερη έκδοση, εγκαταστήστε την ενημέρωση .NET από το Microsoft Update και, στη συνέχεια, επανεκκινήστε την εφαρμογή σας ή επανεκκινήστε το μηχάνημα.
- Εάν εκτελείται το .NET 2.3, ενημερώστε την αναφορά πακέτου για το Microsoft.AspNet.Server.Kestrel.Core σε 2.3.6, στη συνέχεια μεταγλωττίστε ξανά την εφαρμογή και αναπτύξτε εκ νέου.
- Εάν εκτελείτε μια αυτόνομη εφαρμογή/εφαρμογή με ένα αρχείο, εγκαταστήστε την ενημέρωση .NET, κάντε εκ νέου μεταγλώττιση και ανακατασκευάστε.
Για την αντιμετώπιση της ευπάθειας, η Microsoft έχει κυκλοφορήσει ενημερώσεις ασφαλείας για το Microsoft Visual Studio 2022, ASP.NET Core 2.3, ASP.NET Core 8.0 και ASP.NET Core 9.0, καθώς και το πακέτο Microsoft.AspNetCore.Server.Kestrel.Core για εφαρμογές ASP.NET Core 2.x.
Όπως εξήγησε ο διευθυντής τεχνικού προγράμματος ασφαλείας .NET, Barry Dorrans, ο αντίκτυπος των επιθέσεων CVE-2025-55315 θα εξαρτηθεί από τη στοχευμένη εφαρμογή ASP.NET και η επιτυχής εκμετάλλευση θα μπορούσε να επιτρέψει στους παράγοντες απειλής να συνδεθούν ως διαφορετικός χρήστης (για κλιμάκωση προνομίων), να υποβάλουν ένα εσωτερικό αίτημα (στο διακομιστή επιθέσεων έλεγχος, αίτημα διασταυρούμενου από τον διακομιστή, το αίτημα διασταύρωσης από την πλευρά του διακομιστή). ή να κάνετε επιθέσεις με ένεση.
“Αλλά δεν ξέρουμε τι είναι δυνατό γιατί εξαρτάται από το πώς έχετε γράψει την εφαρμογή σας. Έτσι, βαθμολογούμε έχοντας κατά νου τη χειρότερη δυνατή περίπτωση, μια παράκαμψη χαρακτηριστικών ασφαλείας που αλλάζει το εύρος.” είπε ο Ντόρρανς.
“Είναι πιθανό; Όχι, πιθανότατα όχι εκτός και αν ο κωδικός της αίτησής σας κάνει κάτι περίεργο και παραλείπει ένα σωρό ελέγχους που θα έπρεπε να κάνει σε κάθε αίτημα. Ωστόσο, ενημερώστε.”
Κατά τη διάρκεια της ενημέρωσης κώδικα Τρίτης αυτού του μήνα, η Microsoft κυκλοφόρησε ενημερώσεις ασφαλείας για 172 ελαττώματα, συμπεριλαμβανομένων οκτώ “Κρίσιμων” ευπαθειών και έξι σφαλμάτων zero-day (τα τρία από τα οποία χρησιμοποιήθηκαν σε επιθέσεις).
Αυτή την εβδομάδα, η Microsoft δημοσίευσε επίσης το KB5066791, μια αθροιστική ενημέρωση που περιλαμβάνει τις τελικές ενημερώσεις ασφαλείας των Windows 10 καθώς το λειτουργικό σύστημα φτάνει στο τέλος του κύκλου ζωής υποστήριξής του.
Το 46% των περιβαλλόντων είχαν σπάσει κωδικούς πρόσβασης, σχεδόν διπλασιασμένος από 25% πέρυσι.
Λάβετε τώρα την Έκθεση Picus Blue 2025 για μια ολοκληρωμένη ματιά σε περισσότερα ευρήματα σχετικά με τις τάσεις πρόληψης, ανίχνευσης και διείσδυσης δεδομένων.
VIA: bleepingcomputer.com
