Microsoft reaguje na poważne zagrożenie w ASP.NET Core
Firma Microsoft wydała pilną aktualizację dla ASP.NET Core, aby naprawić krytyczną lukę bezpieczeństwa, która umożliwia atakującym uzyskanie uprawnień SYSTEM na urządzeniach z systemami macOS i Linux. Błąd, oznaczony jako CVE-2026-40372, dotyczy wersji 10.0.0 do 10.0.6 pakietu Microsoft.AspNetCore.DataProtection.
Jak działa luka i dlaczego jest niebezpieczna?
Problem wynika z nieprawidłowej weryfikacji podpisów kryptograficznych podczas procesu uwierzytelniania HMAC. Atakujący mogą wykorzystać tę lukę do sfałszowania danych uwierzytelniających i uzyskania nieautoryzowanego dostępu do systemu. Skutkuje to możliwością pełnego przejęcia maszyny przez osoby trzecie.
Zagrożenie utrzymuje się nawet po aktualizacji
Microsoft ostrzega, że istniejące fałszywe dane uwierzytelniające utworzone przez atakujących mogą pozostać aktywne nawet po zainstalowaniu łatki. Oznacza to, że użytkownicy muszą ręcznie usunąć podejrzane dane z systemu, aby całkowicie wyeliminować ryzyko.
Kto jest narażony?
Luka dotyczy wszystkich urządzeń korzystających z ASP.NET Core na systemach macOS i Linux, które używają podatnych wersji pakietu Microsoft.AspNetCore.DataProtection. Zagrożenie nie dotyczy systemu Windows.
Jak zabezpieczyć się przed atakiem?
- Natychmiast zaktualizuj pakiet do najnowszej wersji (10.0.7 lub wyższej).
- Sprawdź i usuń podejrzane dane uwierzytelniające z systemu.
- Monitoruj aktywność sieciową pod kątem nietypowych działań.
- Zastosuj dodatkowe środki ochrony, takie jak wielopoziomowe uwierzytelnianie.
Oświadczenie Microsoft
„Podjęliśmy natychmiastowe działania, aby zminimalizować ryzyko dla naszych klientów. Zalecamy jak najszybsze zainstalowanie aktualizacji i przeprowadzenie audytu systemu.”
— Rzecznik Microsoft
Podsumowanie
Krytyczna luka w ASP.NET Core stanowi poważne zagrożenie dla użytkowników macOS i Linux. Pomimo wydania łatki, istnieje ryzyko utrzymywania się fałszywych danych uwierzytelniających. Aktualizacja jest obowiązkowa, a dodatkowe kroki zabezpieczające są zalecane.
Powiązane artykuły
Windows 11: Nowa wersja testowa z regulowaną belką zadań i rozwijanym menu Start
Microsoft's latest Windows 11 test will allow you to reposition the taskbar and change the size of the Start menu. The update, which is rolling out to...
OpenAI umożliwia ChatGPT dostęp do twoich kont bankowych – jak to działa?
ChatGPT will even know how much credit card debt you have. | Image: OpenAI Your trust in AI is about to be put to the test: OpenAI will soon let you g...
Wypowiedziani hakerzy zapomnieli wyłączyć nagrywania w Teams – sami nagrali swoje przestępstwa
Perhaps you remember Muneeb and Sohaib Akhter, the 34-year-old twin brothers we profiled earlier this week. Although they had the tech chops to commit...
Wyciekły zdjęcia nowego kontrolera Xbox Elite 3 – co wiemy o nowym padzie Microsoftu?
Hours after a smaller Xbox Cloud Gaming controller appeared online, Brazil's Anatel regulator has also accidentally published images of what appears t...
OpenAI wprowadza Codex do aplikacji mobilnej ChatGPT – pisanie kodu z telefonu staje się możliwe
OpenAI is going to let users access Codex, its desktop AI tool that can write code and use apps on your computer, from the ChatGPT app on your phone....
Microsoft wycofuje licencje na Claude Code – deweloperzy zmuszani do przejścia na Copilot CLI
Microsoft first started opening up access to Claude Code in December, inviting thousands of its own developers to use Anthropic's AI coding tool daily...
Nowe prawo w Kolorado: producenci systemów operacyjnych mają zbierać wiek użytkowników?
In January, Colorado lawmakers introduced a proposal to make operating systems collect users' ages and pass them to app developers. The bill, SB26-051...
Nowy sterownik chmury Microsoftu wykryty w sieci – mały, ale rewolucyjny
It reportedly uses Wi-Fi to directly connect to the Xbox Cloud Gaming service, for lower latency.