A Microsoft publicou uma atualização de segurança fora do calendário para corrigir uma vulnerabilidade crítica em ASP.NET Core que permite a escalada de privilégios. A falha, registrada como CVE-2026-40372, afeta as APIs criptográficas do sistema de Proteção de Dados (Data Protection) de ASP.NET Core e, em determinadas condições, deixa a porta aberta para que um atacante sem autenticar tenha sidorce cookies e outros dados protegidos para se fazer passar por usuários privilegiados.
O problema saiu à luz quando vários desenvolvedores começaram a notar falhas de desencriptado em suas aplicações após instalar a atualização .NET 10.0.6 distribuída no Patch Tuesday deste mês. Ao pesquisar, a Microsoft detectou uma regressão nos pacotes NuGet Microsoft.AspNetCore.DataProtection 10.0.0–10.0.6: o componente que gera e valida a etiqueta HMAC calculava o controle de integridade sobre bytes incorretos do payload e, em alguns cenários, descartava o hash calculado. Essa combinação permite que assinaturas aparentemente válidas passem as verificações de autenticidade e que payloads previamente protegidos - como cookies de sessão, tokens anti-falsificação, TempData ou o estado OIDC - possam ser decifrados ou falsificados. Você pode ver a explicação técnica nas notas da versão 10.0.7 publicadas pela equipe de .NET: notas da versão 10.0.7.
As consequências práticas são preocupantes: se um atacante conseguir autenticar com uma identidade privilegiada usando payloads forjados durante a janela de vulnerabilidade, a aplicação poderia emitir então tokens legítimos - por exemplo, refresh tokens, chaves de API ou links de restabelecimento de senha - que permanecerão válidos mesmo depois de aplicar a correção, a menos que seja realizada uma rotação do anel de chaves de Data Protection. A Microsoft descreve estas implicações em seu aviso de segurança: aconselhamento MSRC sobre CVE-2026-40372.
A medida imediata recomendada pela Microsoft é atualizar O pacote Microsoft.AspNetCore.DataProtection para a versão 10.0.7 e recolocar as aplicações afetadas logo que antes para que a rotina de validação restaurada rejeite automaticamente payloads forjados. A equipe de .NET resumiu as instruções e o risco em um comunicado técnico onde solicita a todos os clientes que atuem com prioridade: entrada no blog .NET sobre o OOB 10.0.7, e o pacote atualizado está disponível na página oficial de downloads: Transferências de .NET 10.0.
Não basta apenas com um adesivo: As entidades que tenham sido manipuladas durante a janela de exposição devem considerar a rotação das suas chaves Data Protection para invalidar Tokens legítimos emitidos indevidamente. A documentação oficial sobre como funciona a Proteção de Dados e como gerenciar o anel de chaves pode servir de guia para realizar esse processo sem interromper serviços: Documentação sobre Data Protection em ASP.NET Core e Guia de Gestão de Chaves.
A Microsoft também esclareceu que, além da possibilidade de suplantação de identidades e emissão de tokens legítimos por parte do atacante, a vulnerabilidade pode ser explorada para revelar arquivos ou modificar dados armazenados pela aplicação. Em vez disso, de acordo com o aviso, esta falha não permite afectar a disponibilidade do sistema (por exemplo, causar recusa de serviço a nível do sistema operacional).
Este incidente soma-se a outras vulnerabilidades graves relatadas recentemente no ecossistema ASP.NET Core. Em outubro passado, a Microsoft testou uma falha de "HTTP request smuggling" no servidor Web Kestrel que recebeu uma severidade particularmente alta e permitia a atacantes autenticados sequestrar credenciais de outros usuários, contornar controles frontais ou até mesmo provocar a queda do servidor; essa vulnerabilidade está registrada como CVE-2025-55315. A reiteração de problemas críticos em componentes de infraestrutura web ressalta a necessidade de aplicar adesivos com agilidade e de manter controles de defesa em profundidade.
Para administradores e equipamentos de desenvolvimento, o roteiro prático é claro: atualizar para o pacote 10.0.7, redeplegar serviços, revisar logs e sinais de acesso incomum durante a janela vulnerável e, se houver suspeita de exposição, rodar as chaves de proteção de dados e revogar tokens sensíveis. A Microsoft mantém um registro das plataformas e configurações afetadas no anúncio oficial que acompanha a correção: anúncio no GitHub sobre a atualização.
Por último, convém lembrar que a Microsoft continuou a publicar atualizações fora de ciclo para outros problemas detectados após as atualizações de abril de 2026, e que a segurança de aplicativos web modernos depende tanto de adesivos rápidos como de práticas como o hardening de configurações, monitoramento ativo e segregação de privilégios. Se você administra aplicativos ASP.NET Core que usam Data Protection, atua agora: adesivo, desdobra e valida a integridade de suas chaves e tokens.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...