Нов zero-day риск в криптографската защита на уеб приложения

Microsoft пусна извънредни (out-of-band) актуализации за отстраняване на критична уязвимост в ASP.NET Core, която може да позволи ескалация на привилегии до SYSTEM и фалшифициране на удостоверяващи токени.

Уязвимостта е проследена като CVE-2026-40372 и засяга механизма Data Protection, използван за защита на:

• authentication cookies
• antiforgery tokens
• session data (TempData)
• OpenID Connect state

Как работи атаката: фалшифицирани токени и компрометирана криптография

Проблемът се намира в криптографските API на Data Protection, където грешка в изчисляването на HMAC (hash-based message authentication code) води до:

• проверка върху грешни байтове на payload-а
• некоректно валидиране на хеш
• възможност за преминаване на фалшифицирани данни като „валидни“

В резултат атакуващите могат да:

• създават фалшиви authentication cookies
• заобикалят механизми за удостоверяване
• получат достъп като привилегировани потребители
• издават легитимно подписани токени (напр. за сесии или API ключове)

Потенциални последствия: достъп до системи и модификация на данни

Според анализа на Microsoft, успешната експлоатация може да доведе до:

• изтичане на чувствителни файлове
• промяна на данни в приложенията
• повишаване на привилегиите до най-високо системно ниво (SYSTEM)

Важно уточнение: атаката не засяга директно наличността на системата, т.е. няма класически DoS ефект.

Критичен детайл: токените остават валидни след ъпдейт

Един от най-опасните аспекти на уязвимостта е, че:

• ако нападател е получил валиден достъп по време на уязвимия период
• генерираните токени остават валидни дори след обновяване до 10.0.7
• необходима е ротация на Data Protection key ring

Това означава, че просто пачване не е достатъчно за пълно неутрализиране на риска.

Причина за откриването: реални проблеми след Patch Tuesday

Уязвимостта е открита след потребителски сигнали за:

• проблеми с декриптиране след обновяване до .NET 10.0.6
• регресия в пакета Microsoft.AspNetCore.DataProtection 10.0.0–10.0.6

Корекцията е включена в версия 10.0.7 на .NET.

Препоръки за администратори и разработчици

Инженерите по сигурността на Microsoft препоръчват:

• незабавен ъпдейт до Microsoft.AspNetCore.DataProtection 10.0.7
• повторно деплойване на приложенията
• ротация на ключовете за Data Protection
• проверка за необичайни токени или сесии

Също така се препоръчва мониторинг за:

• подозрителни логин сесии
• необичайно издаване на токени
• промени в authentication потока

Контекст: поредица от критични уязвимости в ASP.NET екосистемата

Това не е изолиран случай. Само през последните месеци Microsoft е адресирала и други сериозни проблеми, включително:

• уязвимост за HTTP request smuggling в Kestrel (CVE-2025-55315)
• множество критични ASP.NET Core експлойти с висока степен на тежест
• zero-day уязвимости, включени в редовните Patch Tuesday обновления

CVE-2026-40372 подчертава един ключов проблем в съвременните уеб платформи:
дори малка грешка в криптографска логика може да доведе до пълна компрометация на удостоверяването и ескалация до системно ниво.

С оглед на факта, че уязвимостта позволява фалшифициране на токени, тя се нарежда сред най-сериозните рискове за уеб приложения, базирани на ASP.NET Core.