Am Dienstagabend veröffentlichte Microsoft ein dringendes Sicherheitsupdate für seine ASP.NET-Core-Plattform, um eine kritische Schwachstelle zu schließen. Die Lücke mit der Kennung CVE-2026-40372 betrifft die Versionen 10.0.0 bis 10.0.6 des NuGet-Pakets Microsoft.AspNetCore.DataProtection. Dieses Paket ist integraler Bestandteil des Frameworks und wird häufig für die Entwicklung von Webanwendungen unter Linux und macOS genutzt. Der Fehler ermöglicht es Angreifern ohne Authentifizierung, SYSTEM-Rechte auf betroffenen Systemen zu erlangen und so die Kontrolle über das gesamte Gerät zu übernehmen.
Wie der Fehler funktioniert: Schwache Signaturprüfung als Einfallstor
Die Schwachstelle entsteht durch eine fehlerhafte Überprüfung kryptografischer Signaturen im Rahmen der HMAC-Verifizierung. HMAC (Hash-based Message Authentication Code) dient normalerweise dazu, die Integrität und Authentizität von Datenübertragungen zwischen Client und Server sicherzustellen. Bei der verletzlichen Implementierung können Angreifer gefälschte Authentifizierungspakete erstellen, die das System als legitim akzeptiert. Dadurch wird es möglich, unautorisierte Zugriffe durchzuführen und SYSTEM-Privilegien zu erlangen – selbst auf Systemen, die sonst strenge Zugriffsbeschränkungen hätten.
Warum das Update allein nicht ausreicht: Bleibende Risiken nach dem Patch
Microsoft warnt davor, dass bereits kompromittierte Systeme auch nach dem Einspielen des Updates weiterhin gefährdet bleiben könnten. Der Grund: Authentifizierungsdaten, die während des Angriffs durch den Exploit erzeugt wurden, bleiben auf dem System gespeichert. Diese sogenannten "Forged Credentials" könnten von Angreifern weiterhin genutzt werden, um Zugriff zu erlangen. Betroffene Administratoren müssen daher nicht nur das Update installieren, sondern zusätzlich alle verdächtigen Sitzungen und Anmeldedaten überprüfen und gegebenenfalls zurücksetzen.
Betroffene Systeme und empfohlene Maßnahmen
Die Schwachstelle betrifft alle Geräte, die ASP.NET Core in den Versionen 10.0.0 bis 10.0.6 auf Linux oder macOS ausführen. Besonders gefährdet sind Entwicklungs- und Produktionsumgebungen, in denen Webanwendungen mit dem betroffenen NuGet-Paket betrieben werden. Microsoft rät Nutzern dringend, das Update umgehend zu installieren und Sicherheitsaudits durchzuführen. Zudem sollten Entwickler prüfen, ob in ihren Anwendungen möglicherweise kompromittierte Authentifizierungstokens im Umlauf sind, die vor der Installation des Patches entstanden sind.
Die Veröffentlichung des Notfallupdates unterstreicht einmal mehr die Bedeutung proaktiver Sicherheitsmaßnahmen in der Softwareentwicklung. Während Microsoft schnell reagiert hat, zeigt der Fall, wie kritisch eine lückenlose Überprüfung kryptografischer Prozesse ist. Nutzer und Unternehmen sollten die Empfehlungen des Herstellers ernst nehmen und die Systeme nicht nur patchen, sondern auch auf mögliche Nachwirkungen des Angriffs untersuchen. Nur so lässt sich das volle Ausmaß der Bedrohung minimieren und die Integrität der betroffenen Systeme wiederherstellen.
KI-Zusammenfassung
Microsoft patches high-severity ASP.NET Core flaw allowing unauthenticated attackers to gain SYSTEM privileges on Linux and macOS. Learn how to secure your systems now.
Tags
