Microsoft исправила критическую уязвимость ASP.Net, дававшую полный контроль над системой

После установки патча рекомендуется провести ротацию ключей.

Microsoft выпустила для платформы ASP.NET экстренное обновление, исправляющее критическую уязвимость CVE-2026-40372. С ее помощью злоумышленники могли без аутентификации получить привилегии системного уровня.

Уязвимость существовала в Microsoft.AspNetCore.DataProtection версий 10.0.0-10.0.6. Механизм HMAC, отвечающий за целостность данных, работал с ошибкой, и это позволяло подделывать данные аутентификации, обходя защиту.

В первую очередь под угрозой оказались приложения, работающие на Linux и macOS. Windows-системы не пострадали, поскольку по умолчанию применяют другие алгоритмы шифрования.

Примечательно, что последствия эксплуатации уязвимости могут сохраняться даже после установки патча. Как объясняют в Microsoft, атакующие могли успеть получить токены доступа, которые будут работать и в пропатченной системе.

После установки патча компания рекомендует провести ротацию ключей безопасности. Кроме того, следует проверить, не появились ли в системе признаки взлома.

Интересный момент: уязвимость была обнаружена в ходе исследования другой ошибки. После недавнего обновления разработчики столкнулись со сбоями при расшифровке данных; оказалось, система вычисляла HMAC по неверным данным и игнорировала результат проверки.