A Microsoft lançou atualizações de segurança fora de banda, conhecidas como OOB, para corrigir uma vulnerabilidade crítica de elevação de privilégios no ASP.NET Core.
A falha, identificada como
CVE-2026-40372
, foi encontrada nas APIs criptográficas do ASP.NET Core Data Protection e poderia permitir que atacantes sem autenticação obtivessem privilégios SYSTEM em dispositivos afetados por meio da falsificação de cookies de autenticação.
A descoberta ocorreu após relatos de usuários que informaram falhas de decriptação em aplicações depois da instalação da atualização do .NET 10.0.6, distribuída durante o Patch Tuesday deste mês.
“Uma regressão nos pacotes NuGet Microsoft.AspNetCore.DataProtection 10.0.0-10.0.6 faz com que o encryptor autenticado gerenciado calcule sua HMAC validation tag sobre os bytes errados do payload e, em alguns casos, descarte o hash calculado”, informou a Microsoft nas notas de lançamento do .NET 10.0.7.
“Nesses casos, a validação quebrada pode permitir que um atacante forje payloads que passem nas verificações de autenticidade do DataProtection e decripte payloads previamente protegidos em auth cookies, antiforgery tokens, TempData, OIDC state e outros.”
A empresa alertou ainda que, se um atacante usar payloads forjados para se autenticar como um usuário privilegiado durante a janela de vulnerabilidade, ele pode induzir a aplicação a emitir tokens assinados legitimamente, como sessão renovada, API key ou link de redefinição de senha.
Esses tokens permanecem válidos após a atualização para a versão 10.0.7, a menos que o key ring do DataProtection seja rotacionado.
Em um comunicado de segurança divulgado na terça-feira, a Microsoft explicou que a vulnerabilidade também pode permitir a exposição de arquivos e a modificação de dados, embora não afete a disponibilidade do sistema.
Na terça-feira, o senior program manager Rahul Bhandari recomendou que todos os clientes cujas aplicações usem ASP.NET Core Data Protection atualizem o pacote Microsoft.AspNetCore.DataProtection para a versão 10.0.7 o quanto antes e façam o redeploy das aplicações para corrigir a rotina de validação e garantir que quaisquer payloads forjados sejam rejeitados automaticamente.
Mais detalhes sobre plataformas afetadas, pacotes e configurações de aplicação podem ser encontrados no anúncio original.
Em outubro, a Microsoft também corrigiu uma falha de HTTP request smuggling no servidor web Kestrel, identificada como
CVE-2025-55315
, que recebeu a classificação de severidade mais alta já atribuída a uma falha de segurança no ASP.NET Core.
A exploração bem-sucedida da
CVE-2025-55315
permite que atacantes autenticados sequestrarem credenciais de outros usuários, contornem controles de segurança na camada front-end ou derrubem o servidor.
Na segunda-feira, a Microsoft liberou outro conjunto de atualizações fora de banda para corrigir problemas que afetam sistemas Windows Server após a instalação das atualizações de segurança de abril de 2026.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...