Introduction
Microsoft a publié une mise à jour d’urgence pour son framework de développement Web ASP.NET Core en raison d’une vulnérabilité de haute gravité. Cette faille de sécurité, référencée sous le numéro CVE-2026-40372, permet à des attaquants non authentifiés de gagner des privilèges SYSTEM sur les appareils qui utilisent le framework pour exécuter des applications Linux ou macOS.
Contexte Technique
La vulnérabilité affecte les versions 10.0.0 à 10.0.6 du package NuGet Microsoft.AspNetCore.DataProtection, qui fait partie du framework ASP.NET Core. Cette faille critique provient d’une vérification défectueuse des signatures cryptographiques et peut être exploitée pour permettre à des attaquants non authentifiés de forger des charges d’authentification pendant le processus de validation HMAC, utilisé pour vérifier l’intégrité et l’authenticité des données échangées entre un client et un serveur.
Analyse et Implications
Les utilisateurs qui ont exécuté une version vulnérable du package ont été exposés à une attaque qui permettrait à des attaquants non authentifiés de gagner des privilèges SYSTEM sensibles, permettant une compromission complète de la machine sous-jacente. Même après la correction de la vulnérabilité, les appareils peuvent encore être compromis si les informations d’authentification créées par un acteur menaçant ne sont pas purgées.
Microsoft met en garde contre le fait que les informations d’authentification forgées peuvent survivre à la mise à jour, ce qui signifie que les tokens valides émis pendant la période de vulnérabilité restent valables après la mise à jour, à moins que l’anneau de clés de protection des données ne soit rotatif.
Perspective
Il est essentiel pour les utilisateurs d’ASP.NET Core de mettre à jour leur framework vers la version 10.0.7 ou ultérieure et de prendre des mesures pour purger les informations d’authentification compromises. La communauté devrait surveiller de près les mises à jour et les correctifs de sécurité pour le framework, car les vulnérabilités de ce type peuvent avoir des conséquences graves sur la sécurité des applications et des données.
