Microsoft hat Off-Cycle-Updates veröffentlicht, um kritische Sicherheitslücke in ASP zu korrigieren. NET Kern, der es einem Angreifer ermöglichen könnte, seine Privilegien in betroffenen Systemen zu erhöhen. Registriert als CVE-2026-40372 und qualifiziert mit einem CVSS-Score 9.1 / 10.0, das Scheitern wurde als wichtige Schwerkraft angesehen und von einem anonymen Ermittler gemeldet.
Die Ursache des Problems liegt in der Implementierung des Teilsystems Datenschutz von ASP. NET Core: Eine Regression in einigen Versionen der NuGet-Pakete verursachte den authentifizierten Verschlüsselungsmechanismus zur Berechnung des HMAC-Validierungsetiketts auf fehlerhaften Nutzlastbytes und in einigen Fällen die berechnete Hash zu verwerfen. Dieser Fehler bei der Verifikation der kryptographischen Signatur öffnet die Tür, damit manipulierte Eingaben authentisch erscheinen und in bestimmten Situationen auch die Entschlüsselung der zuvor geschützten Daten ermöglicht. Zu den betroffenen Objekten gehören Authentisierungs-Cookies, Anti-Ferfeiting-Tokens und andere von der Buchhandlung signierte oder verschlüsselte Daten.
Microsoft hat die Korrektur im ASP veröffentlicht. NET Kernzweig 10.0.7. Nach Angaben des Unternehmens könnte ein Angreifer, der die Sicherheitslücke erfolgreich erforscht, Systemprivilegien (SYSTEM in Windows-Umgebungen gleichwertig mit Unix-ähnlichen Systemen) erhalten, Dateien zugreifen und Informationen ändern. Die Ausbeutung ist jedoch nicht universell: es erfordert mehrere gleichzeitige Vorbedingungen, um sie lebensfähig zu machen.
Um die Sicherheitslücke auszuschöpfen, muss die Anwendung die betroffene Version des Pakets verwenden Microsoft.AspNetCore.DataProtection(die Regressionen waren in Versionen 10.0.0 bis 10.0.6) vorhanden, dass die Kopie des Pakets von NuGet tatsächlich in Laufzeit von der Anwendung geladen wird und dass der Dienst auf einem anderen System als Windows (z.B. Linux oder macOS) ausgeführt wird. Wenn diese Anforderungen erfüllt sind, könnte ein Angreifer Payloads schmieden, die die Integritätsprüfungen des Datenschutzes durchlaufen oder sogar zuvor geschützte Inhalte entschlüsseln. Darüber hinaus, wenn während des anfälligen Fensters ein Angreifer in der Lage war, als privilegierter Benutzer zu authentifizieren, könnte die Anwendung rechtlich unterzeichnete Token (Sitzungsaktualisierungen, API-Schlüssel, Passwort-Restaurierung Links, etc.) ausstellen, die nach der Anwendung des Updates auf 10.0.7 gültig bleiben würde, es sei denn, der Datenschutz-Schlüsselring wird gedreht.
Die sofortige Empfehlung ist, die korrigierte Version so schnell wie möglich anzuwenden: Projekte und Bereitstellungen aktualisieren, um Microsoft.AspNetCore.DataProtection 10.0.7 und die entsprechende Version von ASP. NET Core 10.0.7. Microsoft veröffentlichte technische Details und Minderung in seinen Sicherheitshinweisen und Versionshinweise; es ist wichtig, beide Quellen zu überprüfen, um den Umfang in jeder Umgebung zu verstehen. Siehe Microsofts Mitteilung hier: MSRC - CVE-2026-40372 und die Notizen der Version im offiziellen Repository: Aspnetcore v10.0.7.
Neben dem Patchen gibt es ein weiteres kritisches Maß: Schlüsselring zum Datenschutz drehen. Da die zum Signieren und Verschlüsseln von Daten verwendeten Schlüssel diejenigen sind, die die Gültigkeit von Token und Cookies bestimmen, eine Zwangsdrehung, die zuvor von kompromittierten Schlüsseln unterschrieben wurde und verhindert, dass ein Angreifer während des anfälligen Fensters emittierte Token verwendet. Die offizielle Dokumentation erklärt, wie Sie Datenschutzschlüssel verwalten und drehen: Schlüsselmanagement im Datenschutz.
Für Entwicklungs- und Betriebsgeräte ist zu prüfen, ob ihre Anwendungen tatsächlich die verletzliche Version des Pakets in Laufzeit laden. Eine praktische Möglichkeit ist die Überprüfung der Abhängigkeiten mit den .NET-Tools (z.dotnet Listenpaket -- einschließlich de-transitional) und überprüfen Sie die in den Geräten oder Containern verpackten Versionen, die eingesetzt werden. Die NuGet-Paketseite enthält Informationen zu veröffentlichten Versionen: Microsoft.AspNetCore.DataProtection in NuGet. Es wird auch empfohlen, Bilder von Containern, veröffentlichten Gebäuden oder binären bereitgestellt zu prüfen, welche Buchhandlung tatsächlich geladen wird.
Wenn Sie Linux oder macOS-Umgebungen verwalten, priorisieren Sie Updates und schalten Sie die Schlüssel so schnell wie möglich. Nach der Anwendung von Patches und rotierenden Schlüsseln, überprüfen Sie die Authentifizierungsprotokolle und suchen Sie nach ungewöhnlichen Aktivitäten, die zeigen können, dass jemand explodierte den Fehler vor dem Patch. Wenn Sie den möglichen Zugriff oder die Ausgabe von verdächtigen Token während des verletzlichen Fensters erkennen, kommt es, als ob die betroffenen Geheimnisse beeinträchtigt wurden: Widerruf von Token, Kraftersatz und geprüfter Zugriff auf sensible Daten.
In der Praxis erinnert dieser Einfluss an zwei wichtige Ideen: Regressionen in kritischen Sicherheits-Buchhandlungen können kreuzschneidende Auswirkungen haben und es ist daher wichtig, die Aktualisierung von Politiken, Vertrauensankern und entsprechende Schlüsselverwaltungsprozesse aufrechtzuerhalten. Für den technischen Kontext zum Betrieb von Datenschutz und Best Practices führt der Microsoft in ASP zum Datenschutzsystem. NET Core ist eine ausgezeichnete Ressource: ASP.NET Datenschutz. Um den CVE-Datensatz und Details der Schwere zu überprüfen, ist der öffentliche Eintrag in NVD verfügbar: NVD - CVE-2026-40372.
Wenn Sie Anwendungen in der Produktion verwalten, handeln Sie bereits: Update auf 10.0.7, brechen Sie den Schlüsselring, wenn Ihre Umgebung ausgesetzt wurde und überprüfen Sie Protokolle und Token während des verletzlichen Fensters ausgegeben. Die Kombination von Parkplatz und Schlüsselverwaltung ist die effektivste Möglichkeit, diese Tür zu schließen, bevor sie mehr Schaden verursacht.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...