Quando ho letto il link che Lorenzo e poi Andrea mi hanno mandato riguardante il bug della forms authentication, mi è venuto subito l'atroce sospetto e dopo un veloce test ho avuto la conferma.
Il bug riguarda le autorizzazioni di asp.net indipendentemente dal tipo di autenticazione usata.
Si, avete capito bene, con lo stesso exploit ho potuto bucare un progetto di test interamente protetto con la Windows Authentication.
Ovviamente non si tratta di un bug di Kerberos o di Windows. L'autenticazione Windows deve avere luogo altrimenti l'utente non può fare nulla.
Io mi sono loggato alla home page della web app di test come semplice user. Quindi ho protetto una pagina in modo che solo gli administrators potessero raggiungerla.
Nella home page del progetto ho creato due link alla pagina protetta: un link 'normale' ed uno con il %5C. Il risultato è stato quello aspettato e con il secondo link sono riuscito ad entrare nella pagina di admin anche se ero loggato come semplice utente.
Il bug sembra proprio girare intorno al modulo di autorizzazione, non ho potuto ancora identificare di preciso il punto, visto che sono lontano dalla mia postazione operativa.
Al mio rientro non esiterò a scomodare i sorgenti del framework per identificare meglio il problema.