미국 Microsoft는 9월 17일, 자사의 Web 어플리케이션 ASP.NET의 중대한 취약성에 대하여 유저들에게 경고했다. 이 취약성이 공격자에게 악용 되면 암호화된 Web 세션이 유출되거나 Web 사이트로부터 유저명이나 패스워드가 유출될 우려가 있다고 밝혔다.

이 취약성의 존재가 밝혀진 것은 아르헨티나의 부에노스아이레스에서 개최된 보안 컨퍼런스 "ekoparty Security Conference"로, 2명의 전문가가 이 취약성과 공격 수법에 대해 설명한 것으로 밝혀졌다.

Microsoft에 의하면 이 취약성은 ASP.NET의 모든 버젼에 존재한다고 한다. ASP.NET은 방대한 Web 사이트나 어플리케이션의 구축에 사용되고 있는 것으로, Windows XP Service Pack(SP)이나 Windows Server 2003, Windows 7, Windows Server 2008 R2까지, 마이크로소프트가 현재 서포트하고 있는 Windows의 모든 버전 외, IIS(인터넷 인포메이션 서비스)나 SharePoint Server등의 서버 소프트웨어도 이 취약성의 영향을 받는다.

ekoparty에서 Juliano Rizzo씨와 Thai Duong씨는 ASP.NET의 암호화 기능의 취약성을 악용 하는 것으로, 리모트 서버의 세션 쿠키나, 다른 암호화 데이터를 복호하여 ASP.NET에 의존하는 사이트에서 Web 어플리케이션에 액세스 하고 파일을 빼내는 데모를 시연했다.

Rizzo씨와 Duong씨에 의하면, 두사람이 발견한 공격 수법에서는 Web 어플리케이션에“완전한 관리자 권한”으로 액세스 하기 때문에 정보의 유출부터 시스템의 완전한 탈취까지 모든 것이 가능하다고 했다.

두 사람은 인터넷상의 Web 사이트의 25%가 ASP.NET를 사용하고 있다고 추측하고 있다.

이 취약성을 악용 하는 공격 수법에서는 ASP.NET 어플리케이션에 암호문을 억지로 보내고 돌아오는 에러코드를 감시한다. 이 프로세스를 반복하여 에러를 분석하는 것으로, 해커가 암호의 열쇠를 찾아내고 암호문 전체를 복호 하는데 충분한 정보를 얻을 우려가 있다고 했다.

Microsoft는 이 취약성의 수정 패치를 "개발중"이라고 하고 있지만, 패치의 공개 시기는 분명히 밝히지 않았다. 동사는 잠정적으로 Web 사이트나 어플리케이션의 개발자에게 코드를 수정하는 것을 권하고 있다.

"이 취약성을 회피하려면 ASP.NET의 customErrors 기능을 유효하게해서 서버로 발생하는 에러의 내용에 관계없이 항상 같은 에러 메세지를 돌려주도록 어플리케이션을 명시적으로 구성하면 좋다"라고, Microsoft의 Scott Guthrie씨는 말하고 있다. Scott Guthrie씨는 ASP.NET에 책임을 맡고 있고, 팀을 포함한 몇개의 개발 팀을 총괄하고 있다. "모든 에러 페이지를 1개의 에러 페이지에 매핑 하는 것으로, 서버에서 발생하는 각종의 에러를 해커가 식별하는 것을 막을 수 있다"

유저는 이 회피책에 의해 공격을 막을 수 있지만 이 회피책은 취약성을 해결하는 것은 아니다. Scott Guthrie씨는 9월 18일 자신의 블로그 기사에 코멘트로 다음과 같이 말했다. "우리가 패치를 릴리즈할 것이다. 그때까지는 상기의 회피책으로 공격의 싹을 막는 것이 중요하다"

Rizzo씨와 Duong씨는 이 취약성을 악용 하는 공격을 "패딩 오라클(Padding Oracle) 공격" 이라고 명명했다. 이 이름은 문의에 대해서 힌트를 제공하는 시스템을 나타내는 암호 용어에 연관된 것.

두사람은 3개월전 보안 전문가가 공격에 취약한 체제를 발견하는데 사용할 수 있는 툴 "POET(Padding Oracle Exploit Tool)" 를 공개했다. 또, 1개월전에는 보안 컨퍼런스 "Black Hat Europe"에서 두 사람의 조사 결과의 프레젠테이션을 실시하고 논문을 공개했다.

또한 Microsoft는 취약한 ASP.NET 어플리케이션을 검출하는 Visual Basic 스크립트를 공개하고, Web 사이트나 어플리케이션 개발자로부터의 질문에 대응하는 전용 서포트 포럼도 개설했다.