Microsoft a publié des mises à jour hors cycle pour corriger la vulnérabilité critique dans ASP. NET Noyau qui pourrait permettre à un attaquant d'augmenter ses privilèges dans les systèmes affectés. Enregistré comme CVE-2026-40372 et qualifié avec un score CVSS de 9,1 / 10,0, l'échec a été considéré comme une gravité importante et a été signalé par un enquêteur anonyme.
La racine du problème réside dans la mise en œuvre du sous-système de protection des données de l'ASP. NET Core: une régression dans certaines versions des paquets NuGet a provoqué le mécanisme de chiffrement authentifié pour calculer l'étiquette de validation HMAC sur des octets de charge utile incorrects et, dans certains cas, pour jeter le hachage calculé. Cet échec dans la vérification de la signature cryptographique ouvre la porte au fait que les entrées manipulées semblent authentiques et, dans des situations spécifiques, permet également le déchiffrement des données qui étaient précédemment protégées. Les objets concernés incluent des cookies d'authentification, des jetons anti-contrefaçon et d'autres données signées ou cryptées par la librairie.
Microsoft a publié la correction dans le ASP. NET Branche centrale 10,0.7. Selon la société, un attaquant qui explore avec succès la vulnérabilité pourrait obtenir des privilèges système (SYSTEM dans des environnements Windows équivalents à des systèmes Unix), accéder aux fichiers et modifier l'information. Cependant, l'exploitation n'est pas universelle : elle nécessite plusieurs préconditionneurs simultanés pour la rendre viable.
Pour exploiter la vulnérabilité, l'application doit utiliser la version affectée du paquet Microsoft.AspNetCore.Protection des données(les régressions étaient présentes dans les versions 10.0.0 à 10.0.6), que la copie du paquet obtenu de NuGet est effectivement chargée dans le temps d'exécution par l'application et que le service est exécuté sur un système autre que Windows (par exemple Linux ou macOS). Si ces exigences sont satisfaites, un attaquant pourrait forger des charges utiles qui passent des contrôles d'intégrité de la protection des données ou même déchiffrer des contenus précédemment protégés. En outre, si, pendant la fenêtre vulnérable, un attaquant a pu s'authentifier en tant qu'utilisateur privilégié, l'application pourrait émettre des jetons légalement signés (mises à jour de session, clés API, liens de restauration de mot de passe, etc.) qui resteraient valides après l'application de la mise à jour à 10.0.7, à moins que l'anneau de la clé Protection des données ne soit tourné.
La recommandation immédiate est d'appliquer la version corrigée dès que possible: mettre à jour les projets et les déploiements Microsoft.AspNetCore.Protection des données 10.0.7 et la version correspondante de ASP. NET Core 10.0.7. Microsoft a publié des détails techniques et des mesures d'atténuation dans son avis de sécurité et ses notes de version; il est important d'examiner les deux sources pour comprendre la portée dans chaque environnement. Voir l'avis de Microsoft ici: MSRC - CVE-2026-40372 et les notes de la version dans le dépôt officiel: aspnetcore v10.0.7.
Outre les correctifs, il existe une autre mesure critique : Porte-clés Rotate Data Protection. Comme les clés utilisées pour signer et chiffrer les données sont celles qui déterminent la validité des jetons et des cookies, une rotation forcée de matériel préalablement invalidé signé par des clés compromises et empêche un attaquant d'utiliser des jetons émis pendant la fenêtre vulnérable. La documentation officielle explique comment gérer et faire pivoter les clés de protection des données: Gestion clé de la protection des données.
Pour les équipements de développement et d'exploitation, il convient de vérifier si leurs applications chargent effectivement la version vulnérable du paquet dans le temps d'exécution. Une façon pratique est de revoir les dépendances avec les outils .NET (p. ex.dotnet liste paquet --y compris dé-transitionnel) et vérifier les versions emballées dans les dispositifs ou conteneurs qui sont déployés. La page du paquet NuGet fournit des informations sur les versions publiées: Microsoft.AspNetCore.Protection des données dans NuGet. Il est également recommandé d'inspecter les images de conteneurs, de bâtiments publiés ou de binaires déployés pour confirmer quelle librairie est effectivement chargée.
Si vous gérez des environnements Linux ou macOS, priorisez les mises à jour et tournez les clés dès que possible. Après avoir appliqué des correctifs et des clés tournantes, vérifiez les enregistrements d'authentification et recherchez une activité inhabituelle qui peut indiquer que quelqu'un a explosé la défaillance avant le correctif. Si vous détectez un éventuel accès ou un problème de jetons suspects pendant la fenêtre vulnérable, il se présente comme si les secrets affectés étaient compromis : jetons de révocation, remplacements de force et accès vérifié aux données sensibles.
Dans la pratique, cet impact rappelle deux idées importantes : les régressions dans les librairies de sécurité critiques peuvent avoir un impact transversal et il est donc essentiel de maintenir les politiques de mise à jour, les ancrages de confiance et les processus de gestion clés appropriés. Pour un contexte plus technique sur le fonctionnement de la protection des données et les meilleures pratiques, le guide Microsoft sur le système de protection des données dans ASP. NET Le noyau est une excellente ressource : ASP.NET Protection des données de base. Pour vérifier l'enregistrement CVE et les détails de la sévérité, l'entrée publique dans NVD est disponible: NVD - CVE-2026-40372.
Si vous gérez des applications en production, agissez déjà : mettez à jour à 10.0.7, cassez la clé si votre environnement a été exposé et vérifiez les journaux et les jetons émis pendant la fenêtre vulnérable. La combinaison du stationnement et de la gestion des clés est le moyen le plus efficace de fermer cette porte avant qu'elle ne cause plus de dommages.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...