Privilégios máximos podem ter sido concedidos a invasores por semanas
Microsoft – A companhia liberou, recentemente, um patch crítico para o ASP.NET Core depois de descobrir que versões de 10.0.0 a 10.0.6 do pacote Microsoft.AspNetCore.DataProtection permitem elevação de privilégio em servidores Linux e macOS sem qualquer autenticação prévia.
- Em resumo: vulnerabilidade CVE-2026-40372 garante domínio SYSTEM enquanto tokens e chaves comprometidos continuam válidos.
Erro em assinatura HMAC abre caminho para tomada total do host
A própria fabricante classificou a pontuação de risco em 9,1/10, confirmando que a falha resulta de uma validação HMAC sobre dados incorretos. O problema foi revelado poucos dias após a distribuição de uma atualização regular e, segundo análise publicada no The Hacker News, representa um dos casos mais graves de exposição a APIs de criptografia neste ano.
“A exploração não exige autenticação e concede privilégios de nível SYSTEM, comprometendo completamente a máquina afetada”, descreve o comunicado oficial de engenharia da Microsoft.
Rotação de chaves e monitoração pós-patch são obrigatórias
A atualização para a versão 10.0.7 é apenas a primeira etapa. Especialistas lembram que credenciais forjadas durante a janela de exposição – como cookies de sessão, links de redefinição de senha e chaves de API – permanecem funcionais até que administradores realizem rotação completa das chaves do DataProtection. Sem esse ciclo, invasores podem continuar acessando sistemas mesmo após o patch.
Segundo dados da Statista, mais de 5 milhões de desenvolvedores utilizam o ASP.NET Core em ambientes de produção. Boa parte desses workloads roda em contêineres Linux hospedados em nuvens como AWS Fargate ou Azure Kubernetes Service, onde a automação de deploy rápido costuma adiar políticas de rotação de segredos. Empresas que integram pipelines CI/CD devem reforçar a verificação de imagens base para garantir que o pacote vulnerável não seja reimportado.
O que você acha? Sua organização já revisou chaves e tokens emitidos antes da correção? Para mais detalhes e guias práticos de mitigação, acesse nossa editoria especializada.
Crédito da imagem: Divulgação / Microsoft
