Nội dung bài viết
Khi xác thực không thành công, mọi thứ có thể trở nên rất sai lầm.
Microsoft đã phát hành bản vá khẩn cấp cho ASP.NET Core để khắc phục lỗ hổng nghiêm trọng cao cho phép kẻ tấn công không được xác thực giành được đặc quyền HỆ THỐNG trên các thiết bị sử dụng khung phát triển Web để chạy ứng dụng Linux hoặc macOS.
Nhà sản xuất phần mềm cho biết vào tối thứ Ba rằng lỗ hổng có mã hiệu CVE-2026-40372, ảnh hưởng đến các phiên bản 10.0.0 đến 10.0.6 của Microsoft.AspNetCore.DataProtection NuGet, một gói nằm trong khuôn khổ này. Lỗ hổng nghiêm trọng bắt nguồn từ việc xác minh sai chữ ký mật mã.
Nó có thể bị khai thác để cho phép những kẻ tấn công không được xác thực giả mạo tải trọng xác thực trong quá trình xác thực HMAC, được sử dụng để xác minh tính toàn vẹn và tính xác thực của dữ liệu được trao đổi giữa máy khách và máy chủ.
Trong thời gian người dùng chạy phiên bản dễ bị tấn công của gói, họ có nguy cơ bị tấn công cho phép những người không được xác thực có được các đặc quyền HỆ THỐNG nhạy cảm cho phép xâm phạm hoàn toàn máy cơ bản.
Ngay cả sau khi lỗ hổng được vá, các thiết bị vẫn có thể bị xâm phạm nếu thông tin xác thực do tác nhân đe dọa tạo không bị xóa. .
Microsoft cho biết: “Nếu kẻ tấn công sử dụng tải trọng giả mạo để xác thực là người dùng đặc quyền trong cửa sổ dễ bị tấn công, chúng có thể đã khiến ứng dụng phát hành mã thông báo có chữ ký hợp pháp (làm mới phiên, khóa API, liên kết đặt lại mật khẩu, v.v.) cho chính chúng”.
“Những mã thông báo đó vẫn hợp lệ sau khi nâng cấp lên 10.0.7 trừ khi vòng khóa DataProtection được xoay.” Microsoft mô tả ASP.NET Core là một khung phát triển web “hiệu suất cao” để viết các ứng dụng .Net chạy trên Windows, macOS, Linux và Docker.
Gói nguồn mở “được thiết kế để cho phép các thành phần thời gian chạy, API, trình biên dịch và ngôn ngữ [phát triển nhanh chóng, trong khi vẫn cung cấp nền tảng ổn định và được hỗ trợ để duy trì hoạt động của ứng dụng”. Tuần trước, Microsoft đã cập nhật gói.
Trong khi điều tra các báo cáo cho thấy việc giải mã không thành công trong các ứng dụng sử dụng phiên bản mới, công ty đã phát hiện ra một lỗi hồi quy cho phép bộ mã hóa được xác thực được quản lý “tính toán thẻ xác thực HMAC của nó dựa trên các byte sai của tải trọng và sau đó loại bỏ hàm băm đã tính toán, điều này có thể dẫn đến việc nâng cao đặc quyền,” Microsoft cho biết.
Xếp hạng mức độ nghiêm trọng tối đa cho CVE-2026-40372 là 9,1 trên 10. “Nếu ứng dụng của bạn, chúng tôi es ASP.NET Core Data Protection, hãy cập nhật gói Microsoft.AspNetCore.DataProtection lên 10.0.7 càng sớm càng tốt để giải quyết vấn đề hồi quy giải mã và lỗ hổng bảo mật,” Microsoft khuyên.
Người dùng bị ảnh hưởng chủ yếu là những người đã sử dụng phiên bản 10.0.6 đã thực sự được tải trong thời gian chạy trên macOS, Linux hoặc bất kỳ hệ điều hành không phải Windows nào khác.
Tình trạng này xảy ra khi ứng dụng (1) không nhắm mục tiêu Microsoft.NET.Sdk.Web hoặc (2) có một Tham chiếu khung Microsoft.AspNetCore.App trực tiếp hoặc tạm thời và người dùng chưa chọn không tham gia PrunePackageReference, được bật theo mặc định trong .NET 10.
Một nhóm người dùng nhỏ hơn bị ảnh hưởng khi ứng dụng hoặc thư viện không phải Windows của họ (1) sử dụng bất kỳ phiên bản dễ bị tấn công nào và tham chiếu các phiên bản Microsoft.AspNetCore.DataProtection và (2) bản dựng đã sử dụng nội dung khung mục tiêu net462 hoặc netstandard2.0 của gói dễ bị tấn công không bị ảnh hưởng vì DataProtection.
theo mặc định sử dụng bộ mã hóa không chứa lỗi, như đã lưu ý trước đó, cập nhật chỉ là bước đầu tiên trong quy trình khắc phục. Người dùng cũng nên xoay vòng khóa DataProtection nếu ứng dụng của họ phục vụ các điểm cuối tiếp xúc với Internet.
ile đang sử dụng phiên bản dễ bị tấn công. Công ty khuyên người dùng bị ảnh hưởng nên kiểm tra các tạo phẩm tồn tại lâu dài ở cấp ứng dụng có thể đã được tạo trong thời gian đó.
Những tạo phẩm này sẽ tồn tại sau khi xoay vòng khóa và phải được xoay ở lớp ứng dụng. Microsoft cung cấp nhiều hướng dẫn chi tiết hơn tại đây.
Ars Technica đã tách tín hiệu khỏi tiếng ồn trong hơn 25 năm. Với sự kết hợp độc đáo giữa hiểu biết về kỹ thuật và mối quan tâm sâu rộng đến nghệ thuật và khoa học công nghệ, Ars là nguồn đáng tin cậy trong biển thông tin.
Suy cho cùng, bạn không cần phải biết mọi thứ, chỉ cần biết những gì quan trọng.
Gợi ý thực hành:
1. Theo dõi thông báo từ cơ quan địa phương tại California.
2. Kiểm tra nguồn chính thức trước khi chia sẻ lại thông tin.