Une faille critique dans ASP.NET Core expose les systèmes macOS et Linux
Microsoft a publié un correctif d'urgence pour ASP.NET Core afin de corriger une vulnérabilité critique permettant à des attaquants non authentifiés d'obtenir des privilèges SYSTEM sur les appareils utilisant ce framework pour exécuter des applications sous macOS ou Linux.
Une faille dans le package Microsoft.AspNetCore.DataProtection
La vulnérabilité, tracée sous l'identifiant CVE-2026-40372, affecte les versions 10.0.0 à 10.0.6 du package NuGet Microsoft.AspNetCore.DataProtection, un composant essentiel du framework. Elle provient d'une vérification défectueuse des signatures cryptographiques, permettant aux attaquants de falsifier des payloads d'authentification lors du processus de validation HMAC.
Cette faille exploite une faiblesse dans la validation de l'intégrité et de l'authenticité des données échangées entre un client et un serveur. Les attaquants peuvent ainsi contourner les mécanismes de sécurité et obtenir un accès complet aux systèmes vulnérables.
Risque persistant même après application du correctif
Microsoft met en garde : les systèmes ayant utilisé une version vulnérable du package restent exposés si les identifiants d'authentification créés par un attaquant ne sont pas supprimés. Les privilèges SYSTEM obtenus frauduleusement permettent une compromission totale de la machine sous-jacente.
« Cette vulnérabilité est particulièrement dangereuse car elle permet une exploitation à distance sans nécessiter d'authentification préalable. Les attaquants peuvent ainsi prendre le contrôle total des systèmes concernés. »
Recommandations pour les utilisateurs
Microsoft recommande aux utilisateurs de mettre à jour immédiatement leurs installations d'ASP.NET Core vers une version non vulnérable. Voici les étapes à suivre :
- Vérifier la version du package Microsoft.AspNetCore.DataProtection installée.
- Mettre à jour vers la dernière version disponible via NuGet.
- Supprimer les identifiants d'authentification potentiellement compromis.
- Surveiller les activités suspectes sur les systèmes concernés.
Les administrateurs système doivent également vérifier les journaux d'audit pour détecter d'éventuelles tentatives d'exploitation de la faille.
Articles connexes
OpenAI permet désormais à ChatGPT d’accéder à vos comptes bancaires
ChatGPT will even know how much credit card debt you have. | Image: OpenAI Your trust in AI is about to be put to the test: OpenAI will soon let you g...
Des jumeaux hackers licenciés oublient d'arrêter l'enregistrement Teams et avouent leurs crimes
Perhaps you remember Muneeb and Sohaib Akhter, the 34-year-old twin brothers we profiled earlier this week. Although they had the tech chops to commit...
Microsoft dévoile accidentellement le contrôleur Xbox Elite 3 : voici les premières images
Hours after a smaller Xbox Cloud Gaming controller appeared online, Brazil's Anatel regulator has also accidentally published images of what appears t...
OpenAI intègre Codex à l'application mobile de ChatGPT : une révolution pour les développeurs
OpenAI is going to let users access Codex, its desktop AI tool that can write code and use apps on your computer, from the ChatGPT app on your phone....
Microsoft met fin aux licences de Claude Code pour ses développeurs
Microsoft first started opening up access to Claude Code in December, inviting thousands of its own developers to use Anthropic's AI coding tool daily...
Colorado envisage de contraindre les systèmes d'exploitation à vérifier l'âge des utilisateurs
In January, Colorado lawmakers introduced a proposal to make operating systems collect users' ages and pass them to app developers. The bill, SB26-051...
Microsoft dévoile un mystérieux contrôleur cloud ultra-compact pour Xbox
It reportedly uses Wi-Fi to directly connect to the Xbox Cloud Gaming service, for lower latency.
Une faille zero-day contourne les protections BitLocker par défaut sur Windows 11
A zero-day exploit circulating online allows people with physical access to a Windows 11 system to bypass default BitLocker protections and gain compl...