ソフトウェアアップデート内での予期しないリグレッションが、セキュリティメカニズムが攻撃者のための入口として機能するようにしました。明確な対応として、Microsoft は ASP.NET Core フレームワーク内の強力な脆弱性を修正するために、緊急修復を配布しました。
ソフトウェア
CVE-2026-40372 として指定され、重大な CVSS スコア 9.1 を持つこの脆弱性は、Data Protection 暗号化インターフェース内に存在していました。この脆弱性により、認証されていない攻撃者が単に認証クッキーを偽造し、身元確認プロトコルを回避することで、特権を SYSTEM レベルに昇格させることができました。
.NET 10.0.6 アップデートの展開に続き、ユーザーの苦情の波の中で機能不全が浮上しました。アプリケーションはデータ復号化中に失敗し始めました。フォレンジック分析により、根本原因は Microsoft.AspNetCore.DataProtection (バージョン 10.0.0~10.0.6) のリグレッションに追跡されました。整合性検証メカニズムは、無効なテレメトリに基づいて署名を誤って計算するか、特定の場合には検証結果をまったく無視していました。
その結果、防御的な周囲は、詐欺的なデータを正当なものとして誤って検証しました。攻撃者は、セッションクッキー、anti-forgery トークン、認可パラメータなどの以前に保護されていた情報を流出させるだけでなく、まったく新しいエントリを捏造することもできました。権限のあるエンティティを成功裏に装うことで、攻撃者はシステムに、アクセスキー、パスワードリセットリンク、またはセッションリフレッシャーを含む正当なトークンを生成させることができました。重要なことに、基盤となる暗号化キーがローテーションされない限り、これらのトークンは修復後も機能したままである可能性があります。脆弱性は不正なデータ修正とファイルアクセスを促進しますが、システム全体の可用性は損なわれません。
Microsoft は、Microsoft.AspNetCore.DataProtection パッケージをバージョン 10.0.7 に即座に アップグレード し、影響を受けたアプリケーションをその後に再展開することを緊急に推奨しています。アップデート後、システムは自動的に偽造されたペイロードを拒否します。さらに、修正の前に生成された可能性のある隠密トークンを無効化するため、マスターセキュリティキーをローテーションすることが賢明です。
翻訳元: https://meterpreter.org/the-critical-9-1-flaw-in-asp-net-core-that-turns-cookies-into-master-keys/
