Внеплановая версия ASP.NET была выпущена из-за ошибки критического уровня.
Из-за дефекта в криптографических API фреймворка ASP.NET компания Microsoft была вынуждена выпустить внеочередные исправления. Успешное использование уязвимости, зарегистрированной под кодом CVE-2026-40372, могло предоставить неавторизованным злоумышленникам максимальные — системные — права. Для этого им было необходимо подделывать файлы cookie для аутентификации.
ASP.NET представляет собой платформу для создания веб-приложений на языках .NET и C#. Этот фреймворк, разработанный Microsoft, является бесплатным и имеет открытый исходный код. Он поддерживает Windows, Linux, а также macOS.
Проблема была обнаружена после жалоб пользователей на трудности с шифрованием в приложениях после обновления .NET до версии 10.0.6, которая была распространена в рамках предыдущего Patch Tuesday.
«Ошибка в пакетах Microsoft.AspNetCore.DataProtection версий 10.0.0-10.0.6 NuGet привела к тому, что аутентифицированный модуль шифрования вычисляет тег валидации HMAC по неверным байтам, а в некоторых случаях удаляет вычисленное хеш-значение», — указано в бюллетене, сопровождающем обновление .NET до версии 10.0.7.
В таких ситуациях неверная валидация позволяет потенциальным злоумышленникам подделывать полезную нагрузку так, что она проходит проверку подлинности DataProtection; также появляется возможность расшифровать ранее защищенные полезные нагрузки в файлах cookie аутентификации, токенах защиты от подделки, TempData, состоянии OIDC и т. д. Если злоумышленник использовал поддельные полезные нагрузки для аутентификации в качестве привилегированного пользователя в течение уязвимого периода, он мог заставить приложение выдать себе легитимно подписанные токены (обновление сессии, ключ API, ссылка для сброса пароля и т. д.). Эти токены сохраняют валидные значения до обновления до версии 10.0.7, если только не произведена смена ключей DataProtection.
Кроме того, в бюллетене отмечается, что уязвимость может позволить злоумышленникам раскрыть и изменить некоторые данные, но без нарушения работы системы.
На прошлой неделе старший менеджер Microsoft Рахул Бхандари (Rahul Bhandari) предупредил всех клиентов корпорации, чьи приложения используют ASP.NET Core Data Protection, что им срочно необходимо обновиться до версии 10.0.7, а затем выполнить пересборку и повторное развертывание приложения, чтобы любые поддельные нагрузки были автоматически отклонены.
«Важно понимать, что эксплуатация уязвимости возможна только при одновременном выполнении трёх условий: если приложение на .NET использует версию 10.0.6 Microsoft.AspNetCore.DataProtection, полученную через менеджер пакетов NuGet, если копия библиотеки NuGet загружена в среду выполнения (runtime), и, что существенно, если приложение функционирует на Linux, macOS или другой операционной системе, отличной от Windows, — поясняет Михаил Зайцев, специалист по кибербезопасности из компании SEQ. — Эта информация содержится в разделе часто задаваемых вопросов оригинального бюллетеня, но отсутствует в сопутствующих публикациях. В любом случае, обновить .NET будет полезно и пользователям операционной системы Microsoft».
Специалист также подчеркнул, что в процессе обновления крайне важно обновить все ключи и сессии. Без выполнения этого этапа обновление может оказаться неэффективным.
Кроме того, в начале прошлой недели Microsoft выпустила ряд дополнительных обновлений для Windows Server, работа которого могла быть нарушена апрельскими исправлениями безопасности.
