关于 ASP.NET 漏洞的进一步信息

《本文转译自 Security Research & Defense 博客文章“Additional Information about the ASP.NET Vulnerability”》

近日，我们收到了一些关于 ASP.NET 漏洞的进一步的问题。在这篇文章中，我们将就其中最为常见的一些问题给出答复。

我的 ASP.NET 站点受这个漏洞影响吗？

受影响，所有使用 ASP.NET 的站点都受到这个漏洞的影响。您可以采用 安全通报 中列出的推荐措施，其中的变通方案能够帮助您加固服务器防止受到相关攻击。在 之前的博客文章 中，我们还提供了一个脚本，能够帮助您确认这种加固方法对您的 ASP.NET 站点是否有效。

我的站点已经受到攻击了吗？

公开的攻击方法会导致 Web 服务器向恶意的客户端回复数千（甚至上万）个错误代码为500和404的 HTTP 响应消息。您可以使用防火墙的状态过滤机制或网络中的入侵检测系统来检测出这样的模式，进而阻止潜在的攻击者。IIS 7支持的动态 IP 限制模块 (Dynamic IP Restrictions module) 也能够用来阻止这类攻击。

另外，如果您的站点已受到攻击，您可以在应用程序事件日志中看到类似下面的警告：

Event code: 3005
Event message: An unhandled exception has occurred.
Event time: 11/11/1111 11:11:11 AM
Event time (UTC): 11/11/1111 11:11:11 AM
Event ID: 28e71767f3484d1faa90026f0947e945
Event sequence: 133482
Event occurrence: 44273
Event detail code: 0
Application information:
Application domain: c1db5830-1-129291000036654651
Trust level: Full
Application Virtual Path: /
Application Path: C:/foo/TargetWebApplication/
Machine name: FOO
Process information:
Process ID: 3784
Process name: WebDev.WebServer40.exe
Account name: foo
Exception information:
Exception type: CryptographicException
Exception message: Padding is invalid and cannot be removed.

高亮显示的异常细节是事件日志条目中最为重要的信息。开发新的 ASP.NET 站点代码时，或在某些特定的生产环境下，有可能出现这样的错误。然而，如果您的生产服务器只是在近期才出现这样的错误，那很有可能表明您受到了攻击。验证这些异常出现的时间，如果与服务器接收到大量上述恶意客户端发送的请求的时间一致，那么，这个条目是攻击导致的概率就更高了。

Kevin Brown, MSRC Engineering

了解更多信息，请参考：

• Understanding the ASP.NET Vulnerability (英文)
• 安全通报2416728 (中文)
• 安全通报2416728 (英文，含更新内容)