根据安全公告，Microsoft已发布针对ASP.NET漏洞的变通办法，以帮助保护网站免受潜在的拒绝服务(DoS)攻击。Microsoft Trustworthy Computing主管Dave Forstrom在Microsoft安全响应中心博客上写道，已公开披露的漏洞会影响所有受支持的.NET框架版本，但Microsoft“不知道”目前正在利用该漏洞进行的任何野蛮攻击。 12月28日。当Microsoft正在开发修补程序以解决该错误时，Forstrom并未指出何时可提供此修复程序。

MSRC工程师Suha Can和Jonathan Ness在安全研究与防御博客上写道，匿名攻击者可以利用零日漏洞来有效地消耗Web服务器上的所有CPU资源，从而导致拒绝服务。

该漏洞利用包含数千个表单值的特制HTTP请求来创建哈希表，该哈希表在计算上非常昂贵。这篇文章说，任何接受表单数据的ASP.NET网站，以及启用了ASP.NET时运行Internet信息服务(IIS)默认配置的Web服务器都可能受到攻击。

Forstrom写道：“我们的团队正在全球范围内全天候工作，以开发适当质量的安全更新来解决该问题。”

根据安全公告，Microsoft建议的解决方法修改Web和应用程序主机配置文件，以定义ASP.NET接受的请求大小的最大限制。微软表示，降低该限制还将降低ASP.NET服务器和Web应用程序的“敏感性”。每当发送超过最大限制的请求时，配置更改将导致服务器返回错误。但是，允许用户上传文件的应用程序可能会受到配置更改的影响。

在ASP.NET平台上，大小仅为100KB的HTTP请求可以锁定单个CPU内核的100%的时间将近2分钟。攻击者可能会反复发送这些请求，并导致服务器的性能大幅下降并导致拒绝服务。Can和Ness说，这些请求甚至可能影响多核服务器和服务器群集。

nCircle安全运营总监Andrew Storms告诉eWEEK，利用此漏洞的攻击与典型的DoS攻击有所不同，因为它们不需要僵尸网络或大量的协作来关闭Web服务器。他说，尽管大多数DoS攻击都依赖大量的小请求来淹没Web服务器，但在这种情况下，单个请求可能会消耗单个核心90秒钟。

Storms说：“每隔几分钟就对其中一些请求进行排队，该站点实际上将被关闭。”

安全研究人员Julian W?lde和Alexander Klink在12月28日于德国举行的混沌通信大会会议上提出了攻击Web应用程序框架的新方法。他们还在gmane.comp.security完整披露邮件中发布了该漏洞的详细信息。清单。

零日漏洞并不是ASP.NET独有的，受影响的产品列表包括PHP 4和5，Java，Apache Tomcat和Geronimo，Jetty，Oracle Glassfish，Python，Plone，CRuby 1.8，JRuby和Rubinius v8。到完整披露清单上的职位。Can和Ness写道，尽管没有狂野的主动攻击，但微软预计“即将”发布利用代码。

Storms预测其他供应商将发布类似的零日公告，并针对其他平台提出缓解建议。Apache软件基金会安全团队的Mark Thomas告诉eWEEK，Apache已经为7.0.x和6.0.x更新了Tomcat，并计划将其发布为5.5.x。其他供应商未响应查询。

暴风雨说：“每年假期前后，我们都会进行安全演习，今年也不例外。”

Storms预测，微软可能会在本周的某个时候“很快”发布一个紧急补丁。Storms说，测试和部署紧急补丁对大多数企业IT团队可能构成挑战，因为它们可能正在“运行基础架构人员”。

Microsoft建议，ASP.NET网站所有者应查看该通报，以“评估拒绝服务的风险”，并实施变通办法和攻击检测机制来保护站点，直到安全更新可用为止。据Forstrom称，该公司还通过Microsoft Active Protections计划与合作伙伴合作，以帮助在其他软件产品中建立保护。