A Microsoft divulgou uma atualização emergencial para corrigir uma vulnerabilidade crítica em seu framework de desenvolvimento web ASP.NET Core, capaz de permitir que invasores não autenticados obtenham privilégios elevados em sistemas que utilizam Linux ou macOS.
A falha, identificada como CVE-2026-40372, afeta versões entre 10.0.0 e 10.0.6 do pacote Microsoft.AspNetCore.DataProtection, componente responsável por funções de criptografia e proteção de dados dentro do framework. Segundo a empresa, o problema decorre de uma verificação incorreta de assinaturas criptográficas, o que possibilita a falsificação de cargas de autenticação durante o processo de validação HMAC.
Na prática, a vulnerabilidade permite que atacantes forjem dados autenticados e obtenham privilégios de nível SYSTEM, o mais alto em um sistema operacional, comprometendo completamente a máquina afetada. O risco é agravado pelo fato de que a exploração não exige autenticação prévia.
Mesmo após a aplicação do patch, a Microsoft alerta que sistemas podem permanecer comprometidos caso invasores tenham gerado credenciais válidas durante o período de exposição. Isso inclui tokens legítimos, como sessões de usuário, chaves de API ou links de redefinição de senha, que continuam válidos após a atualização se não houver rotação das chaves criptográficas.
A empresa informou que a vulnerabilidade foi descoberta após a liberação de uma atualização recente do pacote. Durante a investigação de falhas de descriptografia, foi identificado um erro de regressão que fazia com que o mecanismo de criptografia calculasse a validação HMAC sobre dados incorretos, abrindo caminho para elevação de privilégios. A falha recebeu pontuação de 9,1 em 10 na escala de gravidade.
O problema afeta principalmente aplicações executadas em sistemas não Windows, especialmente aquelas que utilizam a versão 10.0.6 em tempo de execução ou que fazem uso indireto do pacote vulnerável em determinadas configurações do .NET 10. Aplicações em Windows não são impactadas, pois utilizam por padrão mecanismos de criptografia diferentes, não afetados pelo erro.
Como medida de mitigação, a Microsoft recomenda a atualização imediata para a versão 10.0.7 do pacote. No entanto, a correção não é suficiente por si só. A empresa orienta ainda que administradores realizem a rotação das chaves do DataProtection e revisem artefatos persistentes gerados durante o período de vulnerabilidade, já que esses elementos podem sobreviver mesmo após a atualização e a troca de chaves.
O ASP.NET Core é um framework de código aberto amplamente utilizado para o desenvolvimento de aplicações web multiplataforma, incluindo ambientes Windows, Linux, macOS e contêineres. A falha reforça a necessidade de monitoramento contínuo e rápida aplicação de atualizações em ambientes críticos expostos à internet.
