Microsoft ha publicado
actualizaciones de seguridad fuera de banda (OOB)
para corregir una vulnerabilidad crítica de escalamiento de privilegios en
ASP.NET Core.
La vulnerabilidad (identificada como
CVE-2026-40372) se encontró en las API criptográficas de ASP.NET Core Data Protection y
podría permitir a atacantes no autenticados obtener privilegios de
SYSTEM en los dispositivos afectados mediante la falsificación de cookies de
autenticación.
Microsoft descubrió la vulnerabilidad tras recibir informes de usuarios que
indicaban fallos en el descifrado de sus aplicaciones después de instalar la
actualización .NET 10.0.6 durante el Patch Tuesday de este mes.
«Una regresión en los paquetes NuGet Microsoft.AspNetCore.DataProtection
10.0.0-10.0.6 provoca que el cifrador autenticado administrado calcule su
etiqueta de validación HMAC sobre bytes incorrectos de la carga útil y, en
algunos casos, descarte el hash calculado»,
explica Microsoft
en las notas de la versión .NET 10.0.7.
En estos casos, la validación defectuosa podría permitir a un atacante
falsificar cargas útiles que superen las comprobaciones de autenticidad de
DataProtection y descifrar cargas útiles previamente protegidas en cookies de
autenticación, tokens antifalsificación, datos temporales, estado OIDC, etc.
Si un atacante utilizó cargas útiles falsificadas para autenticarse como
usuario privilegiado durante el período de vulnerabilidad, podría haber
inducido a la aplicación a emitir tokens firmados legítimamente (actualización
de sesión, clave API, enlace de restablecimiento de contraseña, etc.) a su
propio nombre. Esos tokens siguen siendo válidos tras actualizar a la versión
10.0.7, a menos que se rote el llavero de DataProtection.
Como explicó Microsoft en un
aviso de seguridad publicado el martes, esta vulnerabilidad también permite a los atacantes divulgar archivos y
modificar datos, pero no afecta a la disponibilidad del sistema.
El martes, Rahul Bhandari, director sénior de programas,
advirtió
a todos los clientes cuyas aplicaciones utilizan ASP.NET Core Data Protection
que
actualicen el
paquete Microsoft.AspNetCore.DataProtection a la versión 10.0.7
lo antes posible
y que, a continuación, realicen una nueva implementación para corregir la
rutina de validación y garantizar que cualquier carga útil falsificada se
rechace automáticamente.
Puede encontrar más información sobre las plataformas, los paquetes y la
configuración de las aplicaciones afectadas en el
anuncio original.
El lunes, Microsoft lanzó otro
conjunto de actualizaciones extraordinarias
para solucionar problemas que afectan a los sistemas Windows Server tras la
instalación de las actualizaciones de seguridad de abril de 2026.
Fuente:
BC