A Microsoft lançou uma atualização emergencial para resolver uma grave vulnerabilidade no framework de desenvolvimento web ASP.NET Core, presente em sistemas Linux e macOS. A falha, identificada como CVE-2026-40372, permite que invasores não autenticados obtenham privilégios elevados, comprometendo a segurança das máquinas. De acordo com informações do Convergência Digital, a vulnerabilidade decorre de uma verificação incorreta de assinaturas criptográficas no componente Microsoft.AspNetCore.DataProtection.
A falha afeta versões entre 10.0.0 e 10.0.6 desse pacote, permitindo que atacantes forjem dados autenticados e alcancem o nível de privilégios SYSTEM. A exploração é especialmente perigosa, pois não requer autenticação prévia. Ainda segundo a Microsoft, mesmo após a aplicação do patch, há riscos persistentes caso invasores tenham gerado credenciais válidas durante o período em que a falha estava exposta.
O que motivou essa atualização?
A empresa descobriu a brecha após lançar uma atualização recente do pacote, ao investigar falhas de descriptografia. Um erro de regressão foi identificado, causando cálculo incorreto da validação HMAC, o que abriu margem para elevação de privilégios. A vulnerabilidade foi classificada com 9,1 em uma escala de gravidade de 10.
Quais são as recomendações aos usuários?
A falha afeta principalmente aplicações em sistemas não Windows, especialmente aquelas executando a versão 10.0.6 ou que utilizam o pacote vulnerável em certas configurações do .NET 10. Embora as aplicações em Windows não sejam impactadas, a Microsoft recomenda a atualização imediata para a versão 10.0.7 do pacote. Como medida adicional, a rotação das chaves do DataProtection e a revisão de artefatos persistentes são cruciais, visto que podem continuar válidos após a atualização.
Qual a importância do ASP.NET Core no desenvolvimento web?
O ASP.NET Core é uma ferramenta de código aberto amplamente utilizada para desenvolvimento de aplicações web multiplataforma, abrangendo ambientes Windows, Linux, macOS e contêineres. Esta vulnerabilidade sublinha a necessidade de monitoramento contínuo e atualização rápida dos sistemas críticos expostos à internet.
