Atualização Emergencial da Microsoft para ASP.NET Core
A Microsoft anunciou uma atualização emergencial para corrigir uma vulnerabilidade crítica em seu framework de desenvolvimento web ASP.NET Core. Essa falha permite que invasores não autenticados obtenham privilégios elevados em sistemas operacionais Linux ou macOS.
Detalhes da Vulnerabilidade Identificada
A vulnerabilidade, classificada como CVE-2026-40372, afeta as versões do pacote Microsoft.AspNetCore.DataProtection entre 10.0.0 e 10.0.6. Esse componente é responsável por funções de criptografia e proteção de dados no framework. O problema surge de uma verificação inadequada de assinaturas criptográficas, possibilitando a falsificação de cargas de autenticação durante a validação HMAC.
Com essa falha, atacantes podem forjar dados autenticados e obter privilégios de nível SYSTEM, comprometendo totalmente a máquina afetada. O risco é elevado, pois a exploração não requer autenticação prévia.
Consequências e Recomendações
Após a aplicação do patch, a Microsoft alerta que sistemas podem continuar vulneráveis se invasores tiverem gerado credenciais válidas durante o período de exposição. Isso inclui tokens legítimos, como sessões de usuário e chaves de API, que permanecem válidos se não houver rotação das chaves criptográficas.
A vulnerabilidade foi descoberta após uma atualização recente do pacote, quando um erro de regressão foi identificado, permitindo a elevação de privilégios. A falha recebeu uma pontuação de 9,1 em 10 na escala de gravidade.
Impacto em Sistemas Não Windows
O problema afeta principalmente aplicações em sistemas não Windows, especialmente aquelas que utilizam a versão 10.0.6 em tempo de execução ou que fazem uso indireto do pacote vulnerável em configurações específicas do .NET 10. Aplicações em Windows não são impactadas, pois utilizam mecanismos de criptografia diferentes que não são afetados pelo erro.
Medidas de Mitigação Recomendadas
A Microsoft recomenda a atualização imediata para a versão 10.0.7 do pacote. Contudo, a correção não é suficiente por si só. A empresa orienta que administradores realizem a rotação das chaves do DataProtection e revisem artefatos persistentes gerados durante o período de vulnerabilidade, pois esses elementos podem continuar válidos mesmo após a atualização.
Importância do Monitoramento Contínuo
O ASP.NET Core é um framework de código aberto amplamente utilizado para o desenvolvimento de aplicações web multiplataforma, abrangendo ambientes Windows, Linux, macOS e contêineres. Essa falha ressalta a importância do monitoramento contínuo e da rápida aplicação de atualizações em ambientes críticos expostos à internet.
Fonte por: Convergencia Digital