Microsoft udostępnił nadzwyczajną, pozaplanową aktualizację bezpieczeństwa dla frameworka ASP.NET Core. Jak donosi serwis Ars Technica, sprawa jest poważna – odkryta podatność typu „zero-day” uderza bezpośrednio w serwery i stacje robocze pracujące pod kontrolą systemów macOS oraz Linux. Luka pozwala na zdalne wykonanie kodu (RCE), co w praktyce oznacza, że napastnik może przejąć pełną kontrolę nad maszyną bez wiedzy użytkownika. A to, jak powinniśmy świetnie rozumieć, rzadko kiedy dobrze się kończy.
Luka w ASP.NET – Microsoft sprawnie wkroczył do działania
To jeden z tych rzadkich przypadków, gdy, wyjątkowo, to użytkownicy systemu Windows mogą spać spokojnie, podczas gdy administratorzy systemów Unixowych muszą pracować po godzinach. Według omawianego raportu problem tkwi w specyficznej implementacji obsługi żądań sieciowych w bibliotekach .NET dedykowanych dla środowisk innych niż Windows, a luka, oznaczona jako CVE-2026-40372, dotyka paczki Microsoft.AspNetCore.DataProtection NuGet w wersjach od 10.0.0 do 10.0.6.
Jak napisano, odkryta dziura jest w stanie umożliwić przeprowadzenie ataku z wykorzystaniem sfałszowanych danych uwierzytelniających podczas procesu weryfikacji HMAC. Służy on do „sprawdzenia integralności i autentyczności danych wymienianych między klientem a serwerem” i wtedy też ASP.NET jest najbardziej narażony na zewnętrzną ingerencję. Zagadnienie to zostało wyjaśnione przez Microsoft w następujący sposób:
Jeśli w okresie, w którym występowała luka, osoba atakująca wykorzystała sfałszowane dane do uwierzytelnienia się jako użytkownik z uprawnieniami uprzywilejowanymi, mogła skłonić aplikację do wydania sobie tokenów opatrzonych prawidłowym podpisem (odświeżenie sesji, klucz API, link do resetowania hasła itp.). Tokeny te zachowują ważność po aktualizacji do wersji 10.0.7, chyba że zostanie dokonana rotacja pęku kluczy DataProtection.
Gigant z Redmond doszedł do wniosku, że coś jest nie tak, podczas badania zgłoszonych przez użytkowników problemów z odszyfrowywaniem danych w aplikacjach korzystających z nowej wersji frameworku. Wówczas odkryto błąd, który pozwalał „obliczać swój tag walidacyjny HMAC na podstawie niewłaściwych bajtów ładunku, a następnie odrzucać obliczony skrót, co mogło skutkować podwyższeniem uprawnień”.
Warto mieć na uwadze, że luka jest naprawdę poważna – skala ryzyka CVE-2026-40372 została oceniona jako 9,1 na 10. Tym bardziej wszyscy, którzy korzystają z ASP.NET i nie zaktualizowali jeszcze oprogramowania do najnowszej wersji, powinni to czym prędzej zrobić. Redakcja Ars Technica zaleca także, aby prócz zainstalowania świeżej odsłony softu, dokonać rotacji zestawu kluczy DataProtection. Powinno to zabezpieczyć łączące się z siecią aplikacje przed cudzym wzrokiem. W przeciwnym wypadku musimy liczyć się z tym, że hakerzy skorzystają z wykradzionych w porę i niezmienionych później danych uwierzytelniających do zyskania dostępu do maszyny.
0 komentarzy