Microsoft wydał we wtorek wieczorem awaryjną łatkę bezpieczeństwa dla swojego frameworka ASP.NET Core, która naprawia krytyczną lukę umożliwiającą nieuprawniony dostęp do uprawnień SYSTEM na urządzeniach z systemami macOS i Linux. Szczegóły tego zagrożenia opisuje Ars Technica.
Podatność oznaczona jako CVE-2026-40372 dotyczy pakietu Microsoft.AspNetCore.DataProtection NuGet w wersjach od 10.0.0 do 10.0.6. Problem został oceniony na 9.1 punktów w skali od 1 do 10, co czyni go zagrożeniem o wysokiej krytyczności.
Kluczowe wnioski
- Krytyczna luka bezpieczeństwa w ASP.NET Core umożliwia nieuprawnione uzyskanie uprawnień SYSTEM na systemach macOS i Linux
- Podatność CVE-2026-40372 wynika z błędnej weryfikacji podpisów kryptograficznych w procesie walidacji HMAC
- Zaktualizowanie do wersji 10.0.7 nie wystarcza — konieczna jest również rotacja kluczy DataProtection
- Fałszywe tokeny utworzone przez atakujących pozostają ważne nawet po zainstalowaniu łatki
- Użytkownicy Windows nie są dotknięci problemem ze względu na domyślne szyfrowanie
Mechanizm podatności i jej konsekwencje
Luka bezpieczeństwa powstała podczas badania regresji w nowej wersji pakietu. Microsoft odkrył, że zarządzany uwierzytelniony szyfrator "obliczał swój tag walidacji HMAC nad niewłaściwymi bajtami ładunku, a następnie odrzucał obliczony hash", co mogło prowadzić do eskalacji uprawnień.
Podatność pozwala nieuprawnianym atakującym na sfałszowanie ładunków uwierzytelniania podczas procesu walidacji HMAC, który służy do weryfikacji integralności i autentyczności danych wymienianych między klientem a serwerem. W praktyce oznacza to możliwość pełnego przejęcia kontroli nad maszyną.
Szczególnie niepokojące jest to, że skutki ataku mogą przetrwać instalację łatki. Jak wyjaśnia Microsoft: "Jeśli atakujący użył sfałszowanych ładunków do uwierzytelnienia się jako uprzywilejowany użytkownik podczas okna podatności, mógł skłonić aplikację do wydania legalnie podpisanych tokenów (odświeżanie sesji, klucz API, link resetowania hasła itp.) dla siebie."
Proces naprawy i zalecenia
Microsoft zdecydowanie zaleca natychmiastową aktualizację do wersji 10.0.7 pakietu Microsoft.AspNetCore.DataProtection. Jednak sama aktualizacja to dopiero pierwszy krok procesu zabezpieczania systemu.
Użytkownicy muszą również dokonać rotacji pierścienia kluczy DataProtection, jeśli ich aplikacje obsługiwały punkty końcowe dostępne z internetu podczas korzystania z podatnej wersji. Firma radzi również przeprowadzenie audytu długotrwałych artefaktów na poziomie aplikacji, które mogły zostać utworzone w tym czasie, ponieważ przetrwają one rotację kluczy i muszą być wymienione na poziomie aplikacji.
Podatność dotyka przede wszystkim użytkowników, którzy używali wersji 10.0.6 rzeczywiście załadowanej w czasie wykonywania na macOS, Linux lub innych systemach innych niż Windows. Problem występuje, gdy aplikacja nie jest ukierunkowana na Microsoft.NET.Sdk.Web lub ma bezpośrednią lub przechodnią referencję do Microsoft.AspNetCore.App.
Microsoft zapewnia szczegółowe instrukcje naprawy w oficjalnej dokumentacji, podkreślając złożoność procesu zabezpieczania systemów dotkniętych tą luką.
