A Buenos Aires városában tartott Ekoparty Biztonsági konferencián két kutató bemutatta, hogy miként lehet kijátszani az ASP.NET framework által generált hibaoldalakat, így teljes egészében hozzáférve a webszerveren tárolt adatokhoz. Juliano Rizzo és Thai Duong támadásukat "helykitöltő jóslatnak" nevezték el, mivel az érintett Windows komponens alapbeállításon a hibaüzeneteken keresztül folyamatosan tájékoztatja a speciálisan megszerkesztett kérésekkel zaklató támadót arról, hogy miként lehet a rendszer titkosítását megkerülni. Azaz ha a hacker elég kitartó, akkor a visszaérkező hibaüzenetek alapján eleget megtudhat arról, hogy a szerver miként titkosítja a tartalmait.
Amennyiben ez sikerül, akkor a támadó beleláthat a webszolgáltatások mögötti adattáblákba (így hozzáférhet a felhasználónevekhez és jelszavakhoz), valamint fájlokat is beolvashat a szerverről. Többek között például a web.config állományhoz is hozzáférhet. "Ezen módszerrel feloldhatjuk a például a websütik, az autentikációs fájlok és a felhasználói állományok titkosítását, illetve minden olyan fájlhoz hozzáférhetünk, amit a rendszer a Framework API-n keresztül titkosított. A sérülékenység a világháló összes weboldalának 25 százalékát érinti. A támadás súlyossága a telepített alkalmazásoktól függ, így az adatlopástól kezdve a rendszer teljes összeomlásáig bármi elképzelhető" - vélték a kutatók.
A rés veszélyességét jól jelzi, hogy a konferenciát követően a Microsoft is lépett, és felhívta a felhasználóinak a figyelmét az újonnan felfedezett sérülékenységre. Az általuk kiadott biztonsági közlemény alapján a hiba az összes érvényes terméktámogatással rendelkező .NET verziót érinti, így a Windows XP, a Vista, a Windows 7, a Windows Server 2003, valamint a Windows Server 2008 és 2008 R2 platformokon futó weboldalak gazdái nem lehetnek nyugodtak.
A sérülékenység meglehetősen veszélyes, ám szerencsére a Microsoft csak néhány aktív támadásról tud. Az MSRC blogjában ugyanakkor a redmondi szoftvercég azt javasolja a felhasználóknak, hogy a közzétett biztonsági közlemény alapján változtassák meg az ASP.NET által generált hibaoldalukat, hogy az semmiféle információt ne szolgáltasson ki a rendszerrel kapcsolatban.
