Поделиться
Microsoft срочно обновляет ASP.NET из-за ошибки с шифрованием
Новая версия ASP.NET выпущена вне очереди, поскольку речь идет об ошибке критического уровня.
Внеплановая работа над ошибками
Ошибка в криптографических API фреймворка ASP.NET вынудила корпорацию Microsoft выпустить внеплановые патчи. Успешная эксплуатация уязвимости, отслеживаемой под индексом CVE-2026-40372, могла наделять неаутентифицированных атакующих максимальными — системными — привилегиями. Для этого им потребовалось бы подделывать файлы cookie для авторизации.
ASP.NET представляет собой среду для разработки веб-приложений на языках .NET и C#. Разработанный Microsoft, этот фреймворк является бесплатным, с открытым исходным кодом. Он поддерживает как Windows, так и Linux, а также macOS.
«Баг» в шифровании
Проблема была выявлена после сообщений от пользователей о проблемах с шифрованием в приложениях после обновления .NET до версии 10.0.6, распространённого в рамках предыдущего Patch Tuesday.
«Ошибка в пакетах Microsoft.AspNetCore.DataProtection 10.0.0-10.0.6 NuGet привела к тому, что аутентифицированный шифровальный модуль вычисляет тэг валидации HMAC по неверным байтам, и в некоторых случаях удаляет вычисленное hash-значение», — говорится в бюллетене, сопровождающем обновление .NET до версии 10.0.7.
В этих случаях ошибочная валидация позволяет потенциальным злоумышленникам подделывать полезную нагрузку так, что она проходит проверку подлинности DataProtection; а заодно появляется возможность расшифровать ранее защищенные полезные нагрузки в файлах cookie аутентификации, токенах защиты от подделки, TempData, состоянии OIDC и т. д. Если злоумышленник использовал поддельные полезные нагрузки для аутентификации в качестве привилегированного пользователя в течение уязвимого периода, он мог заставить приложение выдать себе легитимно подписанные токены (обновление сессии, ключ API, ссылка для сброса пароля и т. д.). Эти токены сохраняют валидные значения до обновления до версии 10.0.7, если только не произведена смена ключей DataProtection.
Кроме того, говорится в бюллетене, уязвимость может позволить злоумышленникам раскрыть и модифицировать некоторые данные, но без нарушения работы системы.
На прошлой неделе старший менеджер Microsoft Рахул Бхандари (Rahul Bhandari) предупредил всех клиентов корпорации, чьи приложения используют ASP.NET Core Data Protection, что им срочно нужно обновиться до версии 10.0.7, а затем произвести пересборку и развертывание приложения заново, чтобы любые поддельные нагрузки были автоматически отклонены.
Windows не у дел
«Стоит иметь в виду, что уязвимость может эксплуатироваться при соблюдении сразу трёх условий одновременно: если приложение на .NET ссылается на версию 10.0.6 Microsoft.AspNetCore.DataProtection, загруженную из менеджера пакетов NuGet, копия библиотеки NuGet была загружена в среду выполнения (runtime), и, что важно, если приложение работает на Linux, macOS или какой-либо другой операционной системе, но в не под Windows, — отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Об это написано в разделе частых вопросов в оригинальном бюллетене, но не сопровождающих его публикациях. В любом случае, обновить .NET будет нелишним и для пользователей собственной ОС Microsoft».
Эксперт добавил также, что при процедуре обновления критически важно обновить все ключи и сессии. Без выполнения этого шага обновление может оказаться бесполезным.
Помимо этого Microsoft в начале прошлой недели выпустила ряд дополнительных обновлений для Windows Server, чья работа могла быть нарушена апрельскими обновлениями безопасности.
Поделиться
Короткая ссылка
