Kritiek beveiligingslek in ASP.NET Core
Microsoft heeft dinsdagavond een noodupdate uitgebracht voor ASP.NET Core om een hoogrisico beveiligingslek te dichten. Het lek, aangeduid als CVE-2026-40372, treft versies 10.0.0 tot en met 10.0.6 van de Microsoft.AspNetCore.DataProtection NuGet.
Hoe werkt het lek?
De kwetsbaarheid ontstaat door een foutieve verificatie van cryptografische handtekeningen. Aanvallers kunnen hierdoor ongeauthenticeerde authenticatiepayloads vervalsen tijdens het HMAC-verificatieproces. Dit proces controleert de integriteit en echtheid van data die tussen client en server wordt uitgewisseld.
Gevolgen: ongeautoriseerde SYSTEM-rechten
Wanneer een kwetsbare versie van het pakket wordt gebruikt, kunnen aanvallers zonder authenticatie SYSTEM-rechten verkrijgen. Dit geeft volledige controle over het onderliggende systeem. Zelfs na het toepassen van de patch blijven systemen kwetsbaar als door aanvallers aangemaakte credentials niet worden verwijderd.
Wat moet u doen?
- Direct updaten: Installeer de nieuwste versie van Microsoft.AspNetCore.DataProtection via de officiële kanalen.
- Credentials controleren: Verwijder alle bestaande authenticatiegegevens die mogelijk zijn aangemaakt door aanvallers.
- Monitoren: Houd systemen in de gaten op verdachte activiteiten na het toepassen van de patch.
Impact en scope
Het lek treft ontwikkelaars en organisaties die ASP.NET Core gebruiken voor Linux- of macOS-toepassingen. Microsoft benadrukt dat de noodupdate essentieel is om grote beveiligingsrisico's te voorkomen.
"Dit lek stelt aanvallers in staat om volledige controle te krijgen over systemen zonder enige vorm van authenticatie. Het is van cruciaal belang dat gebruikers de patch direct toepassen en bestaande credentials verwijderen."
— Microsoft Security Response Center
Technische details
De kwetsbaarheid maakt gebruik van een zwakte in de cryptografische verificatie van ASP.NET Core. Aanvallers kunnen hierdoor valse authenticatiegegevens maken die het systeem misleiden. Het HMAC-verificatieproces, dat normaal gesproken de integriteit van data garandeert, wordt hierdoor omzeild.
Conclusie
Microsofts noodupdate is een cruciale stap om een ernstige beveiligingsdreiging te mitigeren. Gebruikers wordt dringend geadviseerd om de patch zo snel mogelijk toe te passen en bestaande credentials te controleren. Dit voorkomt dat aanvallers ongeautoriseerde toegang behouden.
Gerelateerde artikelen
Microsoft kiest voor XBOX: Xbox rebranding in volle gang
Xbox just allcapsmaxxed: meet XBOX. This isn't a joke, Microsoft appears to be actually rebranding Xbox to XBOX. Asha Sharma, Xbox CEO, ran a poll on...
Windows 11 krijgt aanpasbare taakbalk en Startmenu: dit verandert er
Microsoft's latest Windows 11 test will allow you to reposition the taskbar and change the size of the Start menu. The update, which is rolling out to...
OpenAI geeft ChatGPT toegang tot je bankrekening: wat betekent dit?
ChatGPT will even know how much credit card debt you have. | Image: OpenAI Your trust in AI is about to be put to the test: OpenAI will soon let you g...
Tweelinghackers vergeten Teams-opname te stoppen en belanden in de gevangenis
Perhaps you remember Muneeb and Sohaib Akhter, the 34-year-old twin brothers we profiled earlier this week. Although they had the tech chops to commit...
Nieuwe Xbox Elite 3-controller gelekt: Anatel publiceert per ongeluk ontwerp
Hours after a smaller Xbox Cloud Gaming controller appeared online, Brazil's Anatel regulator has also accidentally published images of what appears t...
OpenAI brengt Codex naar ChatGPT-app op je telefoon
OpenAI is going to let users access Codex, its desktop AI tool that can write code and use apps on your computer, from the ChatGPT app on your phone....
Microsoft stopt met verlengen van Claude Code-licenties voor ontwikkelaars
Microsoft first started opening up access to Claude Code in December, inviting thousands of its own developers to use Anthropic's AI coding tool daily...
Ontwikkelaars Linux verzetten zich tegen leeftijdscontrole op internet
In January, Colorado lawmakers introduced a proposal to make operating systems collect users' ages and pass them to app developers. The bill, SB26-051...