Villámgyors javítás az ASP.NET Core kritikus hibájára

A Microsoft váratlanul adott ki biztonsági frissítést egy rendkívül veszélyes ASP.NET Core sebezhetőségre, amely lehetőséget adhatott a támadóknak, hogy jogosulatlanul emeljék kiváltságaikat akár rendszergazdai szintre. A hiba az ASP.NET Core Data Protection kriptográfiai API-jában bújt meg, ahol a jogosulatlan támadók képesek lehettek hamisított hitelesítési sütik segítségével hozzáférni a rendszerhez.

Súlyos veszélyek és azonnali intézkedések

Feltételezhető, hogy a hibát akkor fedezték fel, amikor több felhasználó is arról számolt be, hogy a .NET 10.0.6-os frissítés telepítése után alkalmazásaikban nem működött a visszafejtés. A Microsoft szerint a problémás NuGet-csomagok rosszul számolták ki a HMAC-ellenőrző összeget, ráadásul néha teljesen figyelmen kívül is hagyták ezt az értéket. Ez lehetővé tette, hogy a támadók átmenjenek a Data Protection által elvárt hitelesítési ellenőrzésen, sőt, visszafejtsék és felhasználják régi, védett adataikat is – legyen szó sütikről, jelszó-visszaállító linkről vagy API-kulcsról.

Maradandó veszteségek – csak ha nem cselekszel gyorsan

Frissítés nélkül egy támadó akár ténylegesen érvényes tokeneket is generálhatott, amelyek a 10.0.7-es javítás után is működnek, amíg a kulcsgyűrűt nem forgatják. Ugyanígy az érintett alkalmazásokban az adatok illetéktelen kiszivárogtatásához és fájlok módosításához is vezethetett a rés, bár a rendszer működését nem tudták teljesen blokkolni.

Újabb figyelmeztető jelek a fejlesztőknek

A Microsoft nemrég javította a Kestrel webszerver legsúlyosabb HTTP-hibáját is, ahol sikeres támadás esetén akár a szerver összeomlása, illetve jogosultságok megkerülése is előfordulhatott. Minden fejlesztőnek ajánlott a legfrissebb javítások telepítése, hogy kizárják a hátsó kapukat vagy a hamisított tokeneket, amelyek mostanáig a rendszerben maradhattak.
Most elengedhetetlen az éber figyelem: a sebezhetőség a magyar fejlesztőket is érinti.

2026, adrienne, www.bleepingcomputer.com alapján