Microsoft đã cảnh báo người dùng, tin tặc đang khai thác lỗi chưa được vá trong ASP.Net để “chiếm đoạt” các phiên làm việc web đã mã hóa.
Trong lần cập nhật hôm thứ Hai 23/9/2010 cho bản tư vấn bảo mật đã được công bố trước đó, Microsoft cho biết họ đang thấy "có một số hữu hạn các cuộc tấn công hoạt động vào lúc này". Tuy nhiên, Symantec lại nói rằng họ đã không gặp bất kỳ cuộc tấn công nào.
Lỗ hổng này tồn tại trong tất cả các phiên bản của ASP.Net - framework ứng dụng web của công ty được sử dụng để tạo ra hàng triệu trang web và ứng dụng. Lỗi cho phép kẻ tấn công truy cập vào các ứng dụng web với quyền quản trị đầy đủ; giải mã các cookie phiên (session) hoặc dữ liệu đã mã hóa khác trên máy chủ ở xa; truy cập và “cướp” các file từ website hoặc ứng dụng web dựa trên ASP.Net.
Microsoft thừa nhận lỗ hổng hôm thứ Sáu 17/9/2010. Công ty hứa hẹn sẽ vá lỗ hổng này nhưng không cho biết ngày sẽ “giao hàng”. "Chúng tôi sẽ phát hành bản vá lỗi trên Windows Update, vì vậy tất cả các máy sẽ nhận được nó", ông Scott Guthrie, người điều hành đội phát triển ASP.Net cho biết.
Cho đến khi công ty phát hành bản sửa lỗi, ông Guthrie tiếp tục thuyết phục các nhà phát triển website và ứng dụng “bịt” lỗ hổng bằng giải pháp tạm thời (trong đó có việc chỉnh sửa file "web.config").
SharePoint Server 2007 và SharePoint 2010 cũng dễ bị thương tổn trước các cuộc tấn công ASP.Net, Microsoft cho biết. Đội SharePoint đã công bố các hướng dẫn chỉnh sửa file “web.config” khác cho phần mềm cộng tác lợi nhuận cao này.
