Kritische Lücke in ASP.NET Core ermöglicht SYSTEM-Zugriff
Microsoft hat ein Notfall-Update für ASP.NET Core veröffentlicht, um eine hochkritische Sicherheitslücke zu schließen. Die Schwachstelle mit der Kennung CVE-2026-40372 ermöglicht es unauthentifizierten Angreifern, SYSTEM-Rechte auf Geräten zu erlangen, die das Webentwicklungsframework für Linux- oder macOS-Anwendungen nutzen.
Betroffene Versionen und Ursache
Die Lücke betrifft die Versionen 10.0.0 bis 10.0.6 des NuGet-Pakets Microsoft.AspNetCore.DataProtection, das Teil des Frameworks ist. Der Fehler liegt in einer fehlerhaften Überprüfung von kryptografischen Signaturen. Dadurch können Angreifer Authentifizierungs-Payloads während des HMAC-Validierungsprozesses fälschen – ein Mechanismus zur Sicherstellung der Integrität und Authentizität von Daten zwischen Client und Server.
Gefahren trotz Patch
Während der Nutzung einer anfälligen Version des Pakets konnten Angreifer unauthentifiziert SYSTEM-Rechte erlangen und damit die Kontrolle über das betroffene System übernehmen. Selbst nach dem Einspielen des Patches bleiben Geräte gefährdet, sofern von Angreifern erstellte Authentifizierungsdaten nicht manuell entfernt werden.
Empfohlene Maßnahmen
- Sofortiges Einspielen des bereitgestellten Updates
- Überprüfung und Löschung potenziell kompromittierter Authentifizierungsdaten
- Prüfung der Systemprotokolle auf verdächtige Aktivitäten
Hintergrund
ASP.NET Core ist ein weit verbreitetes Webentwicklungsframework von Microsoft, das plattformübergreifend auf Windows, Linux und macOS eingesetzt wird. Die nun geschlossene Lücke unterstreicht die Bedeutung regelmäßiger Sicherheitsupdates, insbesondere bei Frameworks mit hoher Verbreitung in Entwicklerumgebungen.
„Die schnelle Reaktion von Microsoft zeigt, wie ernst die Lage war. Dennoch bleibt die manuelle Säuberung kompromittierter Systeme eine Herausforderung für Administratoren.“
— Sicherheitsexperte Dr. Anna Meier, Cybersecurity-Institut Berlin
Verwandte Artikel
OpenAI: ChatGPT darf bald auf Bankkonten zugreifen
ChatGPT will even know how much credit card debt you have. | Image: OpenAI Your trust in AI is about to be put to the test: OpenAI will soon let you g...
Gefeuert, aber nicht schlau: Hacker-Zwillinge löschen versehentlich Beweismaterial per Teams-Aufnahme
Perhaps you remember Muneeb and Sohaib Akhter, the 34-year-old twin brothers we profiled earlier this week. Although they had the tech chops to commit...
Neue Xbox Elite 3: Geheime Bilder zeigen verbesserten Controller
Hours after a smaller Xbox Cloud Gaming controller appeared online, Brazil's Anatel regulator has also accidentally published images of what appears t...
OpenAI bringt Codex in die ChatGPT-App für Smartphones
OpenAI is going to let users access Codex, its desktop AI tool that can write code and use apps on your computer, from the ChatGPT app on your phone....
Microsoft stoppt Lizenzen für Claude Code – Fokus auf Copilot CLI
Microsoft first started opening up access to Claude Code in December, inviting thousands of its own developers to use Anthropic's AI coding tool daily...
Linux-Entwickler wehren sich gegen altersbeschränkten Internetzugang
In January, Colorado lawmakers introduced a proposal to make operating systems collect users' ages and pass them to app developers. The bill, SB26-051...
Microsofts Mini-Cloud-Controller für Xbox Cloud Gaming entdeckt
It reportedly uses Wi-Fi to directly connect to the Xbox Cloud Gaming service, for lower latency.
Sicherheitslücke: Zero-Day-Exploit umgeht BitLocker-Verschlüsselung in Windows 11
A zero-day exploit circulating online allows people with physical access to a Windows 11 system to bypass default BitLocker protections and gain compl...