Cibersegurança

Brecha no ASP.NET Core dá acesso SYSTEM em Linux; patch emergencial

Camila Torresini Alves
Camila Torresini Alves

Privilégios máximos podem ter sido concedidos a invasores por semanas

Microsoft – A companhia liberou, recentemente, um patch crítico para o ASP.NET Core depois de descobrir que versões de 10.0.0 a 10.0.6 do pacote Microsoft.AspNetCore.DataProtection permitem elevação de privilégio em servidores Linux e macOS sem qualquer autenticação prévia.

Índice de Conteúdos
  • Em resumo: vulnerabilidade CVE-2026-40372 garante domínio SYSTEM enquanto tokens e chaves comprometidos continuam válidos.

Erro em assinatura HMAC abre caminho para tomada total do host

A própria fabricante classificou a pontuação de risco em 9,1/10, confirmando que a falha resulta de uma validação HMAC sobre dados incorretos. O problema foi revelado poucos dias após a distribuição de uma atualização regular e, segundo análise publicada no The Hacker News, representa um dos casos mais graves de exposição a APIs de criptografia neste ano.

“A exploração não exige autenticação e concede privilégios de nível SYSTEM, comprometendo completamente a máquina afetada”, descreve o comunicado oficial de engenharia da Microsoft.

Rotação de chaves e monitoração pós-patch são obrigatórias

A atualização para a versão 10.0.7 é apenas a primeira etapa. Especialistas lembram que credenciais forjadas durante a janela de exposição – como cookies de sessão, links de redefinição de senha e chaves de API – permanecem funcionais até que administradores realizem rotação completa das chaves do DataProtection. Sem esse ciclo, invasores podem continuar acessando sistemas mesmo após o patch.

Segundo dados da Statista, mais de 5 milhões de desenvolvedores utilizam o ASP.NET Core em ambientes de produção. Boa parte desses workloads roda em contêineres Linux hospedados em nuvens como AWS Fargate ou Azure Kubernetes Service, onde a automação de deploy rápido costuma adiar políticas de rotação de segredos. Empresas que integram pipelines CI/CD devem reforçar a verificação de imagens base para garantir que o pacote vulnerável não seja reimportado.

O que você acha? Sua organização já revisou chaves e tokens emitidos antes da correção? Para mais detalhes e guias práticos de mitigação, acesse nossa editoria especializada.




Crédito da imagem: Divulgação / Microsoft

Hackers encurtam brechas de 2 anos para 5 dias com IA
Golpe do iPhone abusa de servidores Apple e dribla filtros
Alerta: chats falsos de suporte exploram pressa e roubam dados
Receita e CFC oferecem curso gratuito sobre Reforma Tributária
Golpe com site falso do Claude instala trojan PlugX
Compartilhe esse Artigo
Camila Torresini Alves
Feito PorCamila Torresini Alves
Camila Torresini Alves é especialista em economia digital e repórter investigativa com foco em mercados financeiros, fintechs e regulação tecnológica. Graduada em Jornalismo pela PUC-SP e com MBA em Finanças e Tecnologia pela FGV, Camila construiu sua carreira na interseção entre negócios e inovação, passando por redações como InfoMoney e Bloomberg Línea antes de integrar a equipe fundadora do Infra Daily News. Reconhecida por sua capacidade de traduzir dados complexos em narrativas acessíveis, ela cobre desde movimentações bilionárias no mercado de semicondutores até os bastidores da regulação de IA no Congresso Nacional. Camila também é mentora no programa Women in Tech Brasil e palestrante frequente em eventos sobre o futuro do trabalho e transformação digital.
Artigo anterior Reino Unido prepara veto total a celulares em salas de aula
Próximo Artigo Game Pass cai de preço antes do Xbox Showcase 07/06/2026
A Corrida pela Nuvem: A Nova Era da IA Corporativa
Gigantes da tecnologia estão reestruturando suas operações e investindo bilhões em infraestrutura de inteligência artificial. Entenda o real impacto no mercado de TI.

Últimas Notícias

LAPSUS$ vaza 3 GB da AstraZeneca e pressiona big techs
Cibersegurança
X3D Turbo Mode 2.0 garante +25% em jogos: conheça a AORUS X870E X3D
Negócios e Inovação
Robô da Honor quebra recorde humano e faz meia maratona em 50min
Inteligência Artificial
IA acelera YDUQS: produtividade salta 7x em polos digitais
Infraestrutura e Cloud

Você também pode gostar disso