計算機安全巨頭賽門鐵克公司的研究人員昨天證實,1月6日公布的攻擊代碼可以削弱Web服務器運行微軟的ASP網絡發表概念證明型攻擊。
其它安全專家并不感到意外,沖出了一個補丁,攻擊代碼出現在微軟的日子GitHub上周五,一個網站,主機軟件項目,并已被黑客在過去分發他們的工作。其軟件的拒絕服務漏洞。沒有,并不奇怪,安德魯風暴nCircle公司安全主任,安全操作,在接受記者采訪時說星期二。 有足夠的興趣[在研究人員的原始演示文稿,我們應該有預期的攻擊代碼很快。風暴的介紹是由德國研究人員亞歷山大克林克和朱利安Walde在12月28日在柏林,那里,他們表現出了網絡上最流行的應用程序和網站編程語言,包括微軟的ASP。凈,在開放源碼的PHP和紅寶石,Oracle的Java和谷歌的V8引擎的JavaScript的一個漏洞混沌通信大會(CCC認證)會議。
據克林克和Walde,攻擊者可能削弱使用單一現成的現成PC和低帶寬連接到互聯網進行拒絕服務攻擊Web服務器。在一份安全公告發布的同一天,微軟承諾在ASP中的漏洞補丁。NET,然后,2011年12月29日第一次出帶外更新。于一月6,確定為HybrisDisaster的人的攻擊代碼在GitHub上發表的克林克Walde演示和攻擊代碼的出現之間的時間間隔僅9天,八天之后,微軟發布了其緊急補丁他們的介紹很不錯,并說明該漏洞和如何很好地利用它,說:沃爾夫岡Kandek,在Qualys的首席技術官。風暴一樣,Kandek是不是目瞪口呆的是利用代碼出現如此之快。 [攻擊]真的有一個非常簡單的機制,Kandek補充說,沒有,所以實際上,我并不感到驚訝。
證明的概念,這實際上是一個巨大的文本文件,可以簡單地被發送到一個脆弱的Web服務器癱瘓,托德比爾茲利,在Rapid7研究員,公司,生產流行的Metasploit滲透測試工具包。
