Microsoft hat ein Off-Schedule-Sicherheitsupdate veröffentlicht, um kritische Sicherheitslücke auf ASP zu korrigieren. NET Kern, der das Klettern von Privilegien ermöglicht. Der Ausfall, aufgezeichnet als CVE-2026-40372, beeinflusst die kryptographischen APIs des Datenschutzsystems (Datenschutz) von ASP. NET Core und unter bestimmten Bedingungen lässt die Tür offen für einen nicht authentifizierten Angreifer, um Cookies und andere geschützte Daten als privilegierte Nutzer weiterzugeben.
Das Problem kam aufs Licht, wenn mehrere Entwickler begannen, Decrypt-Versagen in ihren Anwendungen nach der Installation des .NET 10.0.6 Update in diesem Monat verteilt Patch Dienstag zu bemerken. In der Untersuchung entdeckte Microsoft eine Regression in den NuGet-Paketen Microsoft.AspNetCore.DataProtection 10.0.0-10.0.6: Die Komponente, die das HMAC-Etikett generiert und validiert hat, berechnete die Integritätskontrolle auf falschen Bytes der Nutzlast und schloss in einigen Szenarien den berechneten Hash aus. Diese Kombination ermöglicht es offensichtlich gültigen Signaturen, die Authentizitätsprüfungen zu übergeben und zuvor geschützte Nutzlasten - wie Session-Cookies, Anti-Counterfeiting-Tokens, TempData oder OIDC-Zustand - zu entschlüsseln oder zu verfälschen. Sie können die technische Erklärung in den Notizen in Version 10.0.7 von der . NET Team: Anmerkungen zu Version 10.0.7.
Die praktischen Folgen sind beunruhigend: Wenn ein Angreifer in der Lage ist, mit einer privilegierten Identität mit geschmiedeten Nutzlasten während des Sicherheitsfensters zu authentifizieren, könnte die Anwendung dann legitime Token ausstellen - zum Beispiel aktualisieren Sie Token, API-Schlüssel oder Passwort-Restaurierungslinks -, die auch nach der Anwendung der Korrektur gültig bleiben, es sei denn, eine Datenschutz-Schlüssel-Ring-Drehung wird durchgeführt. Microsoft beschreibt diese Auswirkungen in seinem Sicherheitshinweis: MSRC Beratung zu CVE-2026-40372.
Die von Microsoft empfohlene Sofortmaßnahme ist die Aktualisierung das Microsoft.AspNetCore.DataProtection-Paket auf Version 10.0.7 und die betroffenen Anwendungen so schnell wie möglich neu bereitstellen, dass die restaurierte Validierungsroutine automatisch geschmiedete Nutzlasten ablehnt. Das .NET-Team fasste die Anweisungen und Risiken in einer technischen Erklärung zusammen, in der es alle Kunden auffordert, mit Priorität zu handeln: . NET Blogeintrag auf dem OOB 10.0.7, und das aktualisierte Paket ist auf der offiziellen Download-Seite verfügbar: .NET 10.0 herunterlads.
Es ist nicht genug, nur zu parken: Einrichtungen, die während des Belichtungsfensters manipuliert worden wären, sollten die Rotation ihrer Schlüssel berücksichtigen Datenschutz, um legitime Token zu ungültig zu machen. Offizielle Dokumentation darüber, wie der Datenschutz funktioniert und wie der Schlüsselring verwaltet werden kann, kann als Leitfaden für diesen Prozess dienen, ohne Dienste zu unterbrechen: Datenschutzerklärung in ASP. NET Core und Leitfaden für die Verwaltung.
Microsoft erklärte auch, dass neben der Möglichkeit, Identitäten zu supplantieren und legitime Token durch den Angreifer auszugeben, die Verwundbarkeit genutzt werden kann, um Dateien zu enthüllen oder die von der Anwendung gespeicherten Daten zu modifizieren. Dieser Ausfall hat jedoch gemäß der Mitteilung keinen Einfluss auf die Verfügbarkeit des Systems (z.B. Verweigerung des Dienstes auf der Betriebssystemebene).
Dieser Vorfall ist zusätzlich zu anderen in der ASP gemeldeten schweren Sicherheitslücken. NET Core Ökosystem. Im vergangenen Oktober hat Microsoft auf dem Kestrel Webserver einen "HTTP-Anforderungsschmuggel"-Versagen gepatelt, der besonders hohe Schwere erhielt und den authentifizierten Angreifern erlaubte, Anmeldeinformationen von anderen Benutzern zu entschärfen, Frontsteuerungen zu vermeiden oder sogar den Server zu verkleinern; dass die Sicherheitslücke als CVE-2025-55315. Die Wiederholung kritischer Probleme in Web-Infrastruktur-Komponenten unterstreicht die Notwendigkeit, Patches mit Agilität anzuwenden und eine gründliche Verteidigungskontrolle zu erhalten.
Für Manager und Entwicklungsteams ist die praktische Straßenkarte klar: Update auf Paket 10.0.7, Refold-Dienste, Überprüfungsprotokolle und ungewöhnliche Zugriffssignale während des verletzlichen Fensters und, wenn es einen Verdacht auf Belichtung, rotieren Datenschutzschlüssel und widerrufen empfindliche Token. Microsoft hält eine Aufzeichnung der in der offiziellen Anzeige betroffenen Plattformen und Konfigurationen bei der Korrektur: Ankündigung in GitHub über das Update.
Schließlich sei daran erinnert, dass Microsoft weiterhin Off-Cycle-Updates für andere Probleme veröffentlicht hat, die nach den Updates vom April 2026 identifiziert wurden, und dass die Sicherheit von modernen Web-Anwendungen von schnellen und praktischen Patches wie Konfigurationshärten, aktive Überwachung und Privileg Segregation abhängt. Wenn Sie ASP.NET verwalten Core-Anwendungen mit Datenschutz, jetzt handeln: Patch, Display und Validierung der Integrität Ihrer Schlüssel und Token.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...