Microsoft 脆弱性 ASP.NET Core セキュリティパッチ CVE-2026-40372 macOS Linux SYSTEM特権 NuGet HMAC検証

米Microsoftは10月22日、ASP.NET Coreの高重大度脆弱性を修正する緊急パッチをリリースした。この脆弱性により、認証不要の攻撃者がLinuxまたはmacOS上で動作するアプリケーションを実行するデバイスにおいて、SYSTEM特権を獲得する可能性がある。

同社は火曜日の夕方に発表した声明で、この脆弱性がCVE-2026-40372として追跡されており、Web開発フレームワークのMicrosoft.AspNetCore.DataProtection NuGetパッケージのバージョン10.0.0から10.0.6に影響を及ぼすと明らかにした。問題の根本は暗号署名の検証不備にあり、HMAC検証プロセス中に認証情報を偽造できる可能性がある。

HMAC検証は、クライアントとサーバー間で交換されるデータの完全性と真正性を確認するために使用されるプロセスだ。攻撃者はこの脆弱性を悪用して、偽造された認証情報を作成し、SYSTEM特権を不正に取得することが可能となる。

脆弱性の影響と対策

脆弱なバージョンのパッケージを使用していた期間中、攻撃者は認証なしでシステムの完全な制御を奪う攻撃を受ける可能性があった。Microsoftは、パッチを適用しても、攻撃者が作成した認証情報がシステムに残っている場合、デバイスが引き続き侵害されるリスクがあると警告している。

推奨される対応策

  • 直ちに最新版へのアップデートを実施:影響を受けるバージョン(10.0.0~10.0.6)を使用している場合は、最新のセキュリティパッチ(10.0.7以降)に直ちにアップデートすること。
  • 既存の認証情報の見直し:脆弱なバージョンを使用していた期間に作成された認証情報やセッションがあれば、直ちに無効化し、再発行すること。
  • システムの完全なスキャンを実施:侵害の有無を確認するため、信頼できるセキュリティツールを使用してシステム全体のスキャンを実施すること。
  • ネットワークの監視強化:不審なアクセスや挙動がないか、ネットワークログを継続的に監視すること。

Microsoftの対応

Microsoftは、この脆弱性が深刻なリスクをもたらすと認識しており、迅速なパッチリリースに努めた。同社はユーザーに対し、速やかな対応を呼びかけている。また、セキュリティ研究者の協力を得て、この脆弱性を早期に発見・修正することができたと説明している。

「この脆弱性は、認証メカニズムの根本的な信頼性を損なう可能性があり、システム全体のセキュリティに重大な影響を与える。ユーザーには、直ちにパッチを適用し、既存の認証情報を見直すことを強く推奨する」
— Microsoft Security Response Center

出典: Ars Technica
ガレージ作業の「時間感覚の消失」がもたらす落とし穴
← 前へ

ガレージ作業の「時間感覚の消失」がもたらす落とし穴

 ヤンキースが他球団に追随?代替ユニフォーム導入で波紋を呼ぶ
次へ →

ヤンキースが他球団に追随?代替ユニフォーム導入で波紋を呼ぶ