Microsoftは、重大なASP.NET Core権限昇格脆弱性にパッチを当てるため、帯域外(OOB)セキュリティ更新をリリースしました。
セキュリティ脆弱性(CVE-2026-40372として追跡)はASP.NET Core Data Protection暗号化APIで発見され、認証されていない攻撃者が認証クッキーを偽造することで、影響を受けるデバイスのSYSTEM権限を取得できる可能性があります。
Microsoftは、今月のPatch Tuesdayで.NET 10.0.6更新をインストール後にアプリケーションで復号化が失敗したというユーザーレポート後に、この脆弱性を発見しました。
「Microsoft.AspNetCore.DataProtection 10.0.0-10.0.6 NuGetパッケージのリグレッションにより、管理下の認証エンクリプタはペイロードの不正なバイトのHMAC検証タグを計算し、場合によっては計算されたハッシュを破棄します」と、Microsoftは.NET 10.0.7リリースノートで述べています。
「これらの場合、破損した検証によって攻撃者がDataProtectionの真正性チェックに合格するペイロードを偽造し、認証クッキー、アンチフォージェリトークン、TempData、OIDCステートなど、以前に保護されていたペイロードを復号化できる可能性があります。
「脆弱性のウィンドウ中に攻撃者が偽造されたペイロードを使用して特権ユーザーとして認証した場合、アプリケーションは正当に署名されたトークン(セッション更新、APIキー、パスワードリセットリンクなど)を自分自身に発行するように誘導される可能性があります。これらのトークンは、DataProtection キーリングがローテーションされない限り、10.0.7へのアップグレード後も有効なままです。」
Microsoftが火曜日のセキュリティアドバイザリでさらに説明したように、この脆弱性により攻撃者がファイルを開示してデータを変更することも可能ですが、システムの可用性に影響を与えることはできません。
火曜日、シニアプログラムマネージャーのRahul Bhandarisは、ASP.NET Core Data Protectionを使用するアプリケーションを持つすべての顧客に警告を発し、Microsoft.AspNetCore.DataProtectionパッケージを10.0.7にアップデートするよう可能な限り早く促し、その後、検証ルーチンを修正して偽造されたペイロードが自動的に拒否されるようにするために再デプロイするよう推奨しました。
影響を受けるプラットフォーム、パッケージ、およびアプリケーション構成に関する詳細情報は、オリジナルアナウンスメントで確認できます。
10月、Microsoftはさらに、Kestrel WebサーバーのHTTPリクエストスマグリングバグ(CVE-2025-55315)もパッチしました。このバグはASP.NET Core セキュリティ脆弱性として「最高レベル」の深刻度ランキングでフラグが立てられました。
CVE-2025-55315の悪用に成功した場合、認証された攻撃者は他のユーザーの認証情報をハイジャックしたり、フロントエンドのセキュリティ制御をバイパスしたり、サーバーをクラッシュさせたりすることができます。
月曜日、Microsoft別の帯域外更新セットをリリースして、2026年4月のセキュリティ更新をインストール後のWindows Serverシステムの問題に対処しました。
Mythosが見つけたもののほぼ99%はまだパッチされていません。
AIが4つのゼロデイを1つのエクスプロイトにチェーンし、レンダラーとOSのサンドボックスの両方をバイパスしました。新しいエクスプロイトの波が来ています。
Autonomous Validation Summit(5月12日・14日)で、自律的でコンテキストに富んだ検証がどのように悪用可能なものを見つけ、コントロール保持を証明し、修復ループを閉じるかをご覧ください。
