Microsoft a publié une mise à jour de sécurité hors calendrier pour corriger la vulnérabilité critique sur ASP. NET Core qui permet l'escalade des privilèges. L'échec, enregistré comme CVE-2026-40372, affecte les API cryptographiques du système de protection des données (protection des données) de ASP. NET Core et, sous certaines conditions, laisse la porte ouverte à un attaquant non authentifié pour forcer les cookies et autres données protégées à transmettre comme utilisateurs privilégiés.
Le problème est apparu lorsque plusieurs développeurs ont commencé à remarquer des défaillances de déchiffrement dans leurs applications après l'installation de la mise à jour .NET 100,6 distribuée dans le Patch mardi de ce mois. En étudiant, Microsoft a détecté une régression dans les paquets NuGet Microsoft.AspNetCore.Protection des données 100,0-100,6: le composant qui a généré et validé l'étiquette HMAC a calculé le contrôle d'intégrité sur des octets incorrects de la charge utile et, dans certains scénarios, a exclu le hachage calculé. Cette combinaison permet de déchiffrer ou de falsifier les signatures apparemment valides pour passer les vérifications d'authenticité et les charges utiles précédemment protégées - comme les cookies de session, les jetons anti-contrefaçon, l'état TempData ou OIDC. Vous pouvez voir l'explication technique dans les notes dans la version 10.0.7 publié par le . Équipe NET : pour la version 10.0.7.
Les conséquences pratiques sont inquiétantes: si un attaquant est capable d'authentifier avec une identité privilégiée en utilisant des charges utiles forgées pendant la fenêtre de vulnérabilité, l'application pourrait alors émettre des jetons légitimes - par exemple des jetons de rafraîchissement, des clés API ou des liens de restauration de mot de passe - qui resteront valides même après l'application de la correction, à moins qu'une rotation de la clé de protection des données ne soit effectuée. Microsoft décrit ces implications dans son avis de sécurité: Conseils du MSRC sur CVE-2026-40372.
La mesure immédiate recommandée par Microsoft est de mettre à jour le paquet Microsoft.AspNetCore.DataProtection vers la version 10.0.7 et redéployer les applications concernées dès que possible afin que la routine de validation restaurée rejette automatiquement les charges utiles falsifiées. L'équipe .NET a résumé les instructions et les risques dans un énoncé technique dans lequel elle demande à tous les clients d'agir en priorité: . Entrée de blog NET sur le OOB 10.0.7, et le paquet mis à jour est disponible sur la page de téléchargement officielle: .NET 10.0 téléchargements.
Il ne suffit pas de se garer : les entités qui auraient pu être manipulées pendant la fenêtre d'exposition devraient envisager la rotation de leurs clés Protection des données pour invalider les jetons légitimes mal émis. La documentation officielle sur le fonctionnement de la protection des données et la gestion de l'anneau clé peut servir de guide pour ce processus sans interrompre les services: Documentation sur la protection des données dans ASP. NET Core et guide de gestion clé.
Microsoft a également précisé que, en plus de la possibilité de remplacer les identités et de délivrer des jetons légitimes par l'attaquant, la vulnérabilité peut être exploitée pour révéler des fichiers ou modifier des données stockées par l'application. Toutefois, selon l'avis, cette défaillance n'affecte pas la disponibilité du système (par exemple, ce qui entraîne un refus de service au niveau du système d'exploitation).
Cet incident s'ajoute à d'autres vulnérabilités graves signalées récemment dans le PSA. NET Écosystème central. En octobre dernier, Microsoft a patché une défaillance de "HTTP request contrebande" sur le serveur web de Kestrel qui a reçu une gravité particulièrement élevée et a permis aux attaquants authentifiés d'enlever les identifiants d'autres utilisateurs, d'éviter les contrôles frontaux ou même de faire tomber le serveur; cette vulnérabilité est enregistrée comme CVE-2025-55315. La répétition de problèmes critiques dans les composantes de l'infrastructure Web souligne la nécessité d'appliquer des correctifs avec agilité et de maintenir des contrôles de défense approfondis.
Pour les gestionnaires et les équipes de développement, la feuille de route pratique est claire : mise à jour du paquet 10.0.7, redoublement des services, révision des journaux et des signaux d'accès inhabituels pendant la fenêtre vulnérable et, s'il y a suspicion d'exposition, rotation des clés de protection des données et révocation des jetons sensibles. Microsoft tient un registre des plateformes et des configurations concernées dans la publicité officielle accompagnant la correction: annonce dans GitHub sur la mise à jour.
Enfin, il convient de rappeler que Microsoft a continué à publier des mises à jour hors cycle pour d'autres problèmes identifiés à la suite des mises à jour d'avril 2026, et que la sécurité des applications Web modernes dépend à la fois des correctifs rapides et pratiques tels que le durcissement de configuration, la surveillance active et la ségrégation des privilèges. Si vous gérez ASP.NET Applications de base utilisant la protection des données, agir maintenant: patch, afficher et valider l'intégrité de vos clés et jetons.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...