segurança cibernética Microsoft vulnerabilidade crítica Linux ASP.NET Core CVE-2026-40372 macOS patch emergencial Microsoft.AspNetCore.DataProtection privilégios de SYSTEM

Vulnerabilidade crítica no ASP.NET Core permite privilégios de SYSTEM

A Microsoft emitiu um patch emergencial para corrigir uma vulnerabilidade de alta gravidade no ASP.NET Core. A falha, rastreada como CVE-2026-40372, permitia que atacantes não autenticados obtivessem privilégios de SYSTEM em dispositivos que executam aplicativos desenvolvidos com a estrutura em sistemas macOS e Linux.

Detalhes técnicos da vulnerabilidade

A vulnerabilidade afeta versões 10.0.0 a 10.0.6 do pacote Microsoft.AspNetCore.DataProtection NuGet, componente essencial do ASP.NET Core. O problema decorre de uma verificação defeituosa de assinaturas criptográficas, permitindo que invasores forjem payloads de autenticação durante o processo de validação HMAC.

Esse mecanismo é responsável por garantir a integridade e autenticidade dos dados trocados entre cliente e servidor. Com a exploração bem-sucedida, um atacante poderia comprometer completamente o sistema subjacente.

Risco pós-patch: credenciais forjadas podem persistir

Mesmo após a aplicação do patch, sistemas que executaram versões vulneráveis podem permanecer comprometidos. Isso ocorre porque credenciais criadas por atacantes durante a exploração da vulnerabilidade não são automaticamente removidas com a correção.

Os administradores devem revisar e purgar manualmente quaisquer credenciais suspeitas ou tokens de autenticação gerados antes da aplicação do patch.

Ações recomendadas pela Microsoft

A empresa orienta os usuários a atualizarem imediatamente para a versão mais recente do pacote. Além disso, recomenda:

  • Verificar logs de autenticação em busca de atividades suspeitas;
  • Reiniciar serviços afetados após a aplicação do patch;
  • Monitorar sistemas para detectar sinais de comprometimento.

"A segurança de nossos clientes é nossa prioridade. Recomendamos que todos os usuários do ASP.NET Core atualizem imediatamente para evitar riscos de exploração."
— Equipe de Segurança da Microsoft

Impacto e abrangência

A vulnerabilidade afeta apenas sistemas que utilizam o Microsoft.AspNetCore.DataProtection para aplicativos em execução em macOS e Linux. Usuários do Windows não estão expostos a esse risco específico.

Empresas e desenvolvedores devem priorizar a aplicação do patch, especialmente aqueles que operam ambientes de produção com aplicativos críticos.

Fonte: Ars Technica
Por que o tempo some no seu hobby? A magia (e os perigos) do 'Garage Casino'
← Anterior

Por que o tempo some no seu hobby? A magia (e os perigos) do 'Garage C...

 Yankees finalmente adotam uniformes alternativos? Torcida reage à mudança histórica
Próximo →

Yankees finalmente adotam uniformes alternativos? Torcida reage à muda...