Când autentificarea eșuează, consecințele pot fi extrem de grave. Microsoft a răspuns rapid la această problemă prin lansarea unui patch de urgență destinat corecției unei vulnerabilități de mare severitate în ASP.NET Core. Acest defect permite atacatorilor neautentificați să obțină privilegii de nivel SYSTEM pe dispozitivele care utilizează acest cadru de dezvoltare web pentru a rula aplicații pe Linux sau macOS.
Marți seara, compania a anunțat că vulnerabilitatea, identificată sub numele CVE-2026-40372, afectează versiunile 10.0.0 până la 10.0.6 ale pachetului Microsoft.AspNetCore.DataProtection NuGet, parte integrantă a cadrului respectiv. Problema critică provine dintr-o verificare defectuoasă a semnăturilor criptografice, permițând atacatorilor neautentificați să falsifice datele de autentificare în timpul procesului de validare HMAC, utilizat pentru a verifica integritatea și autenticitatea datelor schimbate între un client și un server.
În perioada în care utilizatorii au operat cu o versiune vulnerabilă a pachetului, sistemele lor au fost expuse unor atacuri ce ar putea permite obținerea de privilegii SYSTEM sensibile, ceea ce ar putea duce la compromiterea completă a mașinii subiacente. Chiar și după aplicarea patch-ului, dispozitivele pot rămâne compromise dacă acreditările de autentificare create de actorii amenințării nu sunt eliminate.
“În cazul în care un atacator a folosit date false pentru a se autentifica ca un utilizator privilegiat în timpul perioadei vulnerabile, este posibil să fi determinat aplicația să emită token-uri legitim semnate (pentru reînnoirea sesiunii, cheie API, link de resetare a parolei etc.) pentru sine,” a declarat Microsoft. “Aceste token-uri rămân valide după actualizarea la versiunea 10.0.7, dacă nu se rotește inelul de chei DataProtection.”
Microsoft descrie ASP.NET Core ca fiind un cadru de dezvoltare web “de înaltă performanță” pentru scrierea aplicațiilor .Net care rulează pe Windows, macOS, Linux și Docker. Pachetul open-source este “conceput pentru a permite evoluția rapidă a componentelor runtime, API-urilor, compilatoarelor și limbajelor, oferind în același timp o platformă stabilă și suportată pentru menținerea funcționării aplicațiilor.”
Săptămâna trecută, Microsoft a actualizat pachetul. În timpul investigației rapoartelor conform cărora decriptarea eșua în aplicațiile ce utilizau noua versiune, compania a descoperit un bug de regresie care a permis criptorului autentificat gestionat să “calculeze tag-ul său de validare HMAC peste octeți greșiți din payload și apoi să descarte hash-ul calculat, ceea ce ar putea duce la creșterea privilegiilor,” a explicat Microsoft. Ratingul maxim de severitate pentru CVE-2026-40372 este de 9.1 din 10.
“Dacă aplicația dumneavoastră utilizează Protecția Datelor ASP.NET Core, actualizați pachetul Microsoft.AspNetCore.DataProtection la versiunea 10.0.7 cât mai curând posibil pentru a remedia regresia decriptării și vulnerabilitatea de securitate,” a recomandat Microsoft.
Utilizatorii afectați sunt în principal cei care au folosit versiunea 10.0.6 încărcată efectiv la runtime pe macOS, Linux sau orice alt sistem de operare non-Windows. Această condiție apare când aplicația (1) nu vizează Microsoft.NET.Sdk.Web sau (2) are o referință de cadru Microsoft.AspNetCore.App fie direct, fie tranzitiv, iar utilizatorii nu au optat pentru excluderea
Sursa: Ars Tehnica Technology
Poll: Care sunt consecințele posibile ale utilizării unei versiuni vulnerabile a pachetului Microsoft.AspNetCore.DataProtection pe dispozitive care rulează Linux sau macOS și nu au fost actualizate?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply