🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Microsoft lançou atualizações de segurança fora de banda (OOB) para corrigir uma vulnerabilidade crítica de escalonamento de privilégios do ASP.NET Core.
A falha de segurança (rastreada como CVE-2026-40372) foi encontrada nas APIs criptográficas do ASP.NET Core Data Protection e pode permitir que invasores não autenticados obtenham privilégios de SYSTEM nos dispositivos afetados, forjando cookies de autenticação.
A Microsoft descobriu a falha após relatos de usuários de que a descriptografia estava falhando em seus aplicativos após a instalação da atualização .NET 10.0.6 durante o Patch Tuesday deste mês.
"Uma regressão nos pacotes NuGet Microsoft.AspNetCore.DataProtection 10.0.0-10.0.6 faz com que o criptografador autenticado gerenciado calcule sua tag de validação HMAC sobre os bytes errados da carga útil e, em seguida, descarte o hash computado em alguns casos", diz a Microsoft nas notas de versão do .NET 10.0.7.
“Nesses casos, a validação quebrada pode permitir que um invasor forje cargas que passem nas verificações de autenticidade do DataProtection e descriptografe cargas previamente protegidas em cookies de autenticação, tokens antifalsificação, TempData, estado OIDC, etc.
“Se um invasor usou cargas forjadas para se autenticar como um usuário privilegiado durante a janela vulnerável, ele pode ter induzido o aplicativo a emitir tokens assinados legitimamente (atualização de sessão, chave de API, link de redefinição de senha, etc.) para si mesmo. Esses tokens permanecem válidos após a atualização para 10.0.7, a menos que o conjunto de chaves DataProtection seja alternado."
Como a Microsoft explicou em um comunicado de segurança na terça-feira, esta vulnerabilidade também pode permitir que invasores divulguem arquivos e modifiquem dados, mas não podem afetar a disponibilidade do sistema.
Na terça-feira, o gerente de programa sênior Rahul Bhandari alertou todos os clientes cujos aplicativos usam ASP.NET Core Data Protection para atualizar o pacote Microsoft.AspNetCore.DataProtection para 10.0.7 o mais rápido possível e, em seguida, reimplantar para corrigir a rotina de validação e garantir que quaisquer cargas forjadas sejam rejeitadas automaticamente.
Mais informações sobre plataformas, pacotes e configuração de aplicativos afetados podem ser encontradas no anúncio original.
Em outubro, a Microsoft também corrigiu um bug de contrabando de solicitação HTTP (CVE-2025-55315) no servidor web Kestrel que foi sinalizado com a classificação de gravidade “mais alta de todos os tempos” para uma falha de segurança do ASP.NET Core.
A exploração bem-sucedida do CVE-2025-55315 permite que invasores autenticados sequestrem credenciais de outros usuários, contornem os controles de segurança front-end ou travem o servidor.
Na segunda-feira, a Microsoft lançou outro conjunto de atualizações fora de banda para resolver problemas que afetam os sistemas Windows Server após a instalação das atualizações de segurança de abril de 2026.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
A falha de segurança (rastreada como CVE-2026-40372) foi encontrada nas APIs criptográficas do ASP.NET Core Data Protection e pode permitir que invasores não autenticados obtenham privilégios de SYSTEM nos dispositivos afetados, forjando cookies de autenticação.
A Microsoft descobriu a falha após relatos de usuários de que a descriptografia estava falhando em seus aplicativos após a instalação da atualização .NET 10.0.6 durante o Patch Tuesday deste mês.
"Uma regressão nos pacotes NuGet Microsoft.AspNetCore.DataProtection 10.0.0-10.0.6 faz com que o criptografador autenticado gerenciado calcule sua tag de validação HMAC sobre os bytes errados da carga útil e, em seguida, descarte o hash computado em alguns casos", diz a Microsoft nas notas de versão do .NET 10.0.7.
“Nesses casos, a validação quebrada pode permitir que um invasor forje cargas que passem nas verificações de autenticidade do DataProtection e descriptografe cargas previamente protegidas em cookies de autenticação, tokens antifalsificação, TempData, estado OIDC, etc.
“Se um invasor usou cargas forjadas para se autenticar como um usuário privilegiado durante a janela vulnerável, ele pode ter induzido o aplicativo a emitir tokens assinados legitimamente (atualização de sessão, chave de API, link de redefinição de senha, etc.) para si mesmo. Esses tokens permanecem válidos após a atualização para 10.0.7, a menos que o conjunto de chaves DataProtection seja alternado."
Como a Microsoft explicou em um comunicado de segurança na terça-feira, esta vulnerabilidade também pode permitir que invasores divulguem arquivos e modifiquem dados, mas não podem afetar a disponibilidade do sistema.
Na terça-feira, o gerente de programa sênior Rahul Bhandari alertou todos os clientes cujos aplicativos usam ASP.NET Core Data Protection para atualizar o pacote Microsoft.AspNetCore.DataProtection para 10.0.7 o mais rápido possível e, em seguida, reimplantar para corrigir a rotina de validação e garantir que quaisquer cargas forjadas sejam rejeitadas automaticamente.
Mais informações sobre plataformas, pacotes e configuração de aplicativos afetados podem ser encontradas no anúncio original.
Em outubro, a Microsoft também corrigiu um bug de contrabando de solicitação HTTP (CVE-2025-55315) no servidor web Kestrel que foi sinalizado com a classificação de gravidade “mais alta de todos os tempos” para uma falha de segurança do ASP.NET Core.
A exploração bem-sucedida do CVE-2025-55315 permite que invasores autenticados sequestrem credenciais de outros usuários, contornem os controles de segurança front-end ou travem o servidor.
Na segunda-feira, a Microsoft lançou outro conjunto de atualizações fora de banda para resolver problemas que afetam os sistemas Windows Server após a instalação das atualizações de segurança de abril de 2026.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
#samirnews #samir #news #boletimtec #microsoft #lança #patches #de #emergência #para #falha #crítica #do #asp.net
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário