Microsoft ha rilasciato una patch di emergenza per correggere una vulnerabilità di elevata gravità per il suo ASP.NET Core che potrebbe consentire agli aggressori non autenticati di ottenere privilegi di sistema sui dispositivi che utilizzano il framework di sviluppo web per eseguire app Linux o macOS.
Produttore di software disse La vulnerabilità, identificata come CVE-2026-40372 a partire da martedì sera, colpisce le versioni dalla 10.0.0 alla 10.0.6 di Microsoft.AspNetCore.DataProtection NuGet, un pacchetto che fa parte del framework. L’errore fatale è causato da una verifica errata delle firme crittografiche. Questo può essere utilizzato per falsificare i payload di autenticazione consentendo al tempo stesso attacchi non autorizzati Convalida HMAC Processo, utilizzato per verificare l’integrità e l’autenticità dei dati scambiati tra un client e un server.
Attenzione: i certificati contraffatti sopravvivono all’applicazione delle patch
Quando gli utenti eseguivano una versione vulnerabile del pacchetto, venivano lasciati esposti a un attacco che avrebbe consentito a individui non autenticati di ottenere privilegi di sistema sensibili che avrebbero consentito la completa compromissione della macchina sottostante. Anche dopo aver risolto la vulnerabilità, i dispositivi possono comunque essere compromessi se le credenziali di autenticazione create dall’autore della minaccia non vengono ripulite.
“Se un utente malintenzionato utilizzasse un payload contraffatto per autenticarsi come utente privilegiato durante la finestra vulnerabile, potrebbe indurre l’applicazione a emettere un token firmato validamente (aggiornamento della sessione, chiave API, collegamento per la reimpostazione della password, ecc.)”, ha affermato Microsoft. “Questi token rimangono validi dopo l’aggiornamento alla versione 10.0.7, a meno che il portachiavi DataProtection non venga ruotato.”
Microsoft descrive ASP.NET Core è un framework di sviluppo Web “ad alte prestazioni” per la scrittura di app .Net eseguite su Windows, macOS, Linux e Docker. Il pacchetto open source è progettato per “consentire ai componenti runtime, alle API, ai compilatori e ai linguaggi di evolversi rapidamente, fornendo comunque una piattaforma stabile e supportata per l’esecuzione delle applicazioni”.
