Microsoft выпустила срочные обновления для критической уязвимости ASP.NET
Корпорация Майкрософт выпустила вне диапазона (OOB) обновления безопасности, исправления критических ASP.NET основной уязвимость, приводящая к эскалации.
Уязвимость в системе безопасности (обозначенная как CVE-2026-40372) была обнаружена в криптографических API-интерфейсах ASP.NET Core Data Protection. Она могла позволить злоумышленникам без аутентификации получить права SYSTEM на уязвимых устройствах, подделав файлы cookie для аутентификации.
Компания Microsoft обнаружила уязвимость после того, как пользователи сообщили о сбоях при расшифровке данных в их приложениях после установки обновления .NET 10.0.6, выпущенного во вторник в этом месяце.
«Регрессия в пакетах NuGet Microsoft.AspNetCore.DataProtection 10.0.0–10.0.6 приводит к тому, что управляемый шифровальщик с аутентификацией вычисляет проверочный тег HMAC на основе неправильных байтов полезной нагрузки, а в некоторых случаях отбрасывает вычисленный хэш», — сообщает Microsoft в примечаниях к выпуску .NET 10.0.7.
«В таких случаях нарушенная проверка может позволить злоумышленнику подделать полезные данные, которые пройдут проверку на подлинность в DataProtection, и расшифровать ранее защищенные полезные данные в файлах cookie для аутентификации, токенах защиты от подделки, TempData, состоянии OIDC и т. д.».
«Если злоумышленник использовал поддельные данные для аутентификации в качестве привилегированного пользователя в уязвимый период, он мог заставить приложение выдать себе токены с легитимной подписью (для обновления сеанса, ключа API, ссылки для сброса пароля и т. д.). Эти токены остаются действительными после обновления до версии 10.0.7, если только не сменить кольцо ключей DataProtection».
Как пояснила компания Microsoft в сообщении о безопасности, опубликованном во вторник, эта уязвимость также позволяет злоумышленникам раскрывать файлы и изменять данные, но не влияет на доступность системы.
Во вторник старший менеджер программ Рахул Бхандари предупредил всех клиентов, чьи приложения используют защиту данных ASP.NET Core, о необходимости как можно скорее обновить пакет Microsoft.AspNetCore.DataProtection до версии 10.0.7, а затем выполнить повторное развертывание, чтобы исправить процедуру проверки и обеспечить автоматическое отклонение любых поддельных полезных нагрузок.
Дополнительную информацию о затронутых платформах, пакетах и конфигурации приложений можно найти в оригинальном объявлении.
В октябре Microsoft также исправила ошибку, связанную с подменой HTTP-запросов (CVE-2025-55315) в веб-сервере Kestrel, которая была отмечена как «самая опасная» уязвимость в системе безопасности ASP.NET Core.
Успешная эксплуатация уязвимости CVE-2025-55315 позволяет злоумышленникам, прошедшим аутентификацию, либо похищать учетные данные других пользователей, либо обходить средства защиты на стороне клиента, либо выводить сервер из строя.
В понедельник компания Microsoft выпустила еще один пакет автономных обновлений для устранения проблем, возникших в системах Windows Server после установки обновлений безопасности за апрель 2026 года.
Выводы
Экстренный выпуск обновлений безопасности для ASP.NET подчеркивает, насколько быстро Microsoft реагирует на критические уязвимости, способные затронуть корпоративные веб-приложения и облачную инфраструктуру. По данным специалистов, обнаруженная проблема могла позволить злоумышленникам обойти механизмы защиты и потенциально нарушить работу сервисов на базе .NET, поэтому установка исправлений должна стать приоритетом для системных администраторов. :contentReference[oaicite:0]{index=0}
Для компаний, использующих ASP.NET, этот инцидент напоминает о важности регулярного мониторинга внеплановых патчей, автоматизации обновлений и проверки безопасности серверов сразу после публикации подобных исправлений. Оперативное применение патчей помогает снизить риск компрометации данных и предотвратить возможные атаки на публичные веб-сервисы.
Редактор: AndreyEx
