Microsoft anuncia zero-day en ASP.NET y su solución antes del parche

Como bien adelanta el titular, Microsoft ha publicado un aviso de seguridad que cubre una vulnerabilidad zero-day en su framework para aplicaciones web ASP.NET.

Según la fuente del aviso: "La vulnerabilidad va relacionada con la forma en que ASP.NET procesa los valores en un envío de formulario, causando una colisión hash".

Esta vulnerabilidad expone a los usuarios a ataques de denegación de servicio, ya que un atacante podría crear una petición HTTP que contiene miles de formularios, los cuales consumirían todos los recursos de la CPU de la máquina de destino.

Según el asesor de Microsoft:

• Los sitios web que sólo sirven páginas estáticas no son vulnerables al ataque.
• Los sitios que no tienen activado "application/x-www-form-urlencoded ó multipart/form-data" como tipo de contenido de formularios HTTP no son vulnerables.

Microsoft todavía no tiene conocimiento de que ese haya creado algún exploit para aprovecharse de esta vulnerabilidad.

Para dar una solución a este problema antes del correspondiente parche, el equipo de asesores de Microsoft recomienda establecer un limite para el tamaño de la petición HTTP (HTTP request) que el servidor va a aceptar.

Como siempre os sugerimos la suscripción al canal RSS de Windows Técnico donde estaréis al día de las novedades concernientes a seguridad y/o productos Microsoft.