微軟針對 ASP.NET Core 的重大權限提升漏洞
CVE-2026-40372,緊急釋出OOB(Out-of-band)更新進行修補。微軟指出,攻擊者可能透過偽造驗證 Cookie,在未經驗證的情況下,取得受影響裝置上的系統權限。
事件起因於用戶回報,
在安裝本月 Patch Tuesday 的 .NET 10.0.6 更新後,部分應用程式出現解密失敗。微軟在 .NET 10.0.7 發行說明中表示,
Microsoft.AspNetCore.DataProtection 10.0.0 至 10.0.6 的 NuGet 套件出現回歸,導致受控的已驗證加密器在計算 HMAC 驗證標記時使用了錯誤的位元組,且在某些情況下會丟棄已計算出的雜湊值。
在此情況下,驗證流程可能失效,使攻擊者得以製作可通過真實性檢查的偽造負載,進而解開先前受保護的資料,例如驗證 Cookie、反偽造權杖、TempData,以及 OIDC 狀態等。
微軟也提醒,若攻擊者在受影響期間利用偽造負載以高權限帳號登入,可能誘使應用程式簽發帶有合法簽名的權杖,例如工作階段更新、API 金鑰、密碼重設連結等。即使系統升級至 10.0.7,除非另行輪替資料保護金鑰環,否則這些權杖仍可能維持有效。
微軟在安全公告中補充,該漏洞也可能被用於檔案外洩與資料竄改,但不會影響系統可用性。
防護建議
- 立即將 Microsoft.AspNetCore.DataProtection 套件更新至 10.0.7,並完成重新部署。
- 盤點受影響期間是否出現異常登入或權杖簽發行為。
- 依風險評估輪替 DataProtection key ring,並回收或重設可能外洩的權杖與認證。
本文轉載自 BleepingComputer。