Microsoftは、攻撃者が保護されたデータを改ざんして不正なアクセスを獲得する可能性がある重大な特権昇格(EoP)の脆弱性に対処するための緊急の帯域外アップデート.NET 10.0.7をリリースしました。
緊急パッチは問題の深刻さを強調しており、帯域外リリースは積極的に悪用されているまたは即座の対応が必要な高リスクの欠陥のために予約されています。
CVE-2026-40372として追跡されている欠陥は、.NET 10.0.6 Patch Tuesdayアップデート中のリグレッションとして導入されました。
最初はアプリケーションレベルの復号化障害として報告されていましたが、Microsoftのエンジニアによるさらなる調査により、ASP.NET Core Data Protectionフレームワーク内のより深い暗号化の問題が明らかになりました。
根本原因はMicrosoft.AspNetCore.DataProtection NuGetパッケージにあります。具体的には、マネージド認証付き暗号化器がハッシュベースのメッセージ認証コード(HMAC)を不正に処理していました。
正しいペイロードを検証する代わりに、システムは不正なバイトシーケンスを使用して認証タグを計算し、結果のハッシュを破棄しました。
この障害はデータ整合性保証に違反し、攻撃者が認証チェックをトリガーすることなく保護されたペイロードを操作できるようになります。
実際のシナリオでは、これは特権昇格を可能にし、不正なユーザーがより高いレベルのシステムアクセスを獲得できるようにします。
これらのコンポーネントに依存する組織、特にクラウドネイティブまたはマイクロサービス環境での組織は、パッチが迅速に適用されない場合、リスクの上昇に直面しています。
この欠陥を悪用する攻撃者は、整合性チェックをバイパスし、暗号化されたデータを操作し、検出なしに特権を昇格させることができます。
この問題は、暗号化されたペイロードがサービス全体で信頼されている分散システムで特に危険です。
Microsoftは組織に即座の行動を促しています:
単にランタイムにパッチを適用するだけでは十分ではありません。アプリケーションをリスクを完全に軽減するために再コンパイルして再展開する必要があります。
同社は安定性を確保し、今後のリリースで同様の暗号化リグレッションを防ぐために、状況を積極的に監視しています。
セキュリティチームは、インシデント対応と脆弱性管理ワークフローの一部として、このパッチを優先順位付けし、すべての影響を受けるシステムが遅延なく更新されることを確認する必要があります。
翻訳元: https://cyberpress.org/microsoft-releases-emergency-net-10-0-7-update-to-fix/
