팔로우 
마이크로소프트는 플랫폼의 데이터 보호 암호화 API와 연결된 고위험 ASP.NET Core 권한 상승 취약점인 CVE-2026-40372에 대한 긴급 업데이트를 내놓았습니다. 공개 보고서에 따르면 이 결함은 CVSS 점수 9.1을 가지고 있으며, 인증되지 않은 공격자가 인증 자료 위조를 통해 영향을 받는 시스템에서 SYSTEM 권한을 획득할 수 있습니다.
이 문제는 심각성뿐만 아니라 정상적인 패치 주기 외에 긴급 업데이트를 촉발할 만큼 심각했기 때문에 두드러집니다. BleepingComputer는 고객이 .NET 10.0.6 업데이트 후 해독 실패를 경험한 후 마이크로소프트가 조사했다고 보도했으며, The Hacker News는 익명의 연구자가 이 버그를 보고하고 ASP.NET Core 10.0.7에서 수정되었다고 전합니다.
CVE-2026-40372 분석
두 매체에서 인용한 마이크로소프트의 세부 사항에 따르면, CVE-2026-40372는 ASP.NET Core에서 암호화 서명의 불충분한 검증에서 비롯됩니다. 구체적으로, 영향받은 Microsoft.AspNetCore.DataProtection 10.0.0–10.0.6 NuGet 패키지는 잘못된 바이트에 대해 HMAC 검증 태그를 계산하고, 일부 경우에는 계산된 해시를 버릴 수 있습니다. 이는 보호된 애플리케이션 데이터의 신뢰 모델을 깨고 인증을 통과한 위조 페이로드를 야기할 수 있습니다.
공격 표면은 일반적인 “모든 ASP.NET Core 응용 프로그램이 취약하다”는 말보다 좁습니다. The Hacker News에 따르면, 성공적인 악용은 세 가지 조건에 달려 있습니다: 응용 프로그램은 NuGet에서 Microsoft.AspNetCore.DataProtection 10.0.6을 직접 또는 종속 패키지를 통해 사용해야 하고, NuGet 복사본이 실제로 런타임에 로드되어야 하며, 응용 프로그램이 Linux, macOS, 또는 기타 비Windows 운영 체제에서 실행되어야 합니다.
이 조건이 충족되면, 영향은 심각할 수 있습니다. 영향을 받은 검증 프로세스가 공격자로 하여금 페이로드를 위조하게 하며, 인증 쿠키, 위조 방지 토큰, TempData, OpenID Connect 상태와 같은 항목의 이전에 보호된 값을 해독할 수 있습니다. 마이크로소프트는 또한 악용이 파일 공개 및 데이터 수정도 가능하게 할 수 있다고 말하지만, 가용성에는 영향을 미치지 않습니다.
가장 위험한 기업 시나리오는 시끄러운 코드 실행이 아닌 신뢰 남용을 통한 권한 상승입니다. 공격자가 취약한 기간 동안 권한 있는 사용자로 인증할 수 있다면, 응용 프로그램은 공격자에게 리프레시된 세션, API 키, 또는 비밀번호 재설정 링크를 비롯한 합법적으로 서명된 후속 아티팩트를 발행할 수 있습니다. 이러한 아티팩트는 수비자가 데이터 보호 키링을 회전시키지 않는 한 패키지가 업그레이드된 후에도 유효할 수 있습니다.
CVE-2026-40372 완화
기본적인 해결책은 간단합니다: Microsoft.AspNetCore.DataProtection을 버전 10.0.7로 업데이트하고 영향을 받은 애플리케이션을 재배포하세요. BleepingComputer가 인용한 마이크로소프트의 지침은 잘못된 검증 프로세스를 수정하고 앞으로 위조 페이로드를 거부하기 위해 가능한 빨리 새 패키지를 적용하라는 것입니다.
그렇긴 해도 패치만으로는 노출을 완전히 차단할 수 없습니다. 두 보고서는 취약한 기간 동안 발행된 토큰이 업그레이드 후에도 유효할 수 있다고 지적하며, 데이터 보호 키링이 회전되지 않는 한 그렇습니다. 실제로 조직은 쿠키, 위조 방지 토큰, 비밀번호 재설정 흐름이나 기타 서명된 애플리케이션 상태에 크게 의존하는 인터넷 노출 애플리케이션에 대해서는 키 회전을 보완 조치의 일환으로 간주해야 합니다. 이는 영향을 받은 토큰 유형과 악용 사전 조건에 기초한 운영 추론입니다.
실용적인 대응 계획은 런타임에 취약한 NuGet 패키지를 로드한 비Windows ASP.NET Core 애플리케이션을 식별하고, 이를 10.0.7로 패치하고, 데이터 보호 키링을 회전시키며, 애플리케이션이 노출되었을 때 발행될 수 있었던 권한 있는 세션이나 기타 서명된 아티팩트를 검토하는 것입니다. 가능하면, 팀은 또한 민감한 세션 자료를 재발급하거나 만료시키는 것을 고려해야 합니다. 패키지 및 런타임 분류 기준은 마이크로소프트가 발표한 조건에서 직접 가져온 것입니다; 토큰 검토 및 재발급 단계는 마이크로소프트의 경고에 기반한 합리적인 방어 추론입니다.
추가적으로, SOC Prime의 AI 기반 탐지 지능 플랫폼을 활용함으로써 최고의 사이버 방어 전문 지식을 바탕으로 글로벌 조직은 항상 제로 데이 악용과 관련된 새로운 위협보다 앞서 나가기 위해 탄력적인 보안 태세를 취하고 SOC를 변혁할 수 있습니다.
FAQ
CVE-2026-40372란 무엇이며 어떻게 동작합니까?
CVE-2026-40372는 데이터 보호 암호화 API의 ASP.NET Core 권한 상승 결함입니다. 영향을 받는 패키지는 잘못된 바이트를 검증하고 일부 경우에는 계산된 HMAC을 폐기할 수 있으며, 이를 통해 공격자는 보호된 페이로드를 위조하고 인증 쿠키 및 기타 서명된 상태와 같은 애플리케이션 신뢰 메커니즘을 악용할 수 있습니다.
CVE-2026-40372는 언제 처음 발견되었나요?
두 보고서에 명확한 사적인 발견 날짜는 명시되지 않았습니다. 공개된 정보에 따르면 마이크로소프트는 2026년 4월 22일에 긴급 수정 패치를 발표했으며, BleepingComputer에 따르면 마이크로소프트는 고객이 .NET 10.0.6 업데이트 후 해독 실패를 보고한 후 조사를 시작했습니다. The Hacker News는 또한 익명의 연구자가 결함을 보고한 것으로 인정받았다고 전합니다.
CVE-2026-40372가 시스템에 미치는 영향은 무엇입니까?
성공적인 악용은 위조된 페이로드, 보호된 데이터의 노출, 파일 노출, 데이터 수정, 그리고 영향을 받는 시스템에서 SYSTEM까지 권한 상승을 허용할 수 있습니다. 보고서에 따르면 가용성에는 영향이 없습니다.
2026년에 CVE-2026-40372가 여전히 영향을 미칠 수 있습니까?
네. 취약한 데이터 보호 패키지를 영향을 받는 조건 하에서 크고 특히 Linux, macOS, 또는 기타 비Windows 호스트에서 계속 실행하는 시스템은 2026년에도 여전히 노출될 수 있습니다. 심지어 패치 후에도, 취약한 기간 동안 발행된 아티팩트는 데이터 보호 키링이 회전되지 않는 한 유효할 수 있습니다.
CVE-2026-40372로부터 어떻게 보호할 수 있습니까?
Microsoft.AspNetCore.DataProtection을 10.0.7로 업데이트하고, 영향을 받은 응용 프로그램을 재배포하며, 데이터 보호 키링을 회전시키고, 인증 쿠키, 새로 고침 세션, API 키, 재설정 링크와 같은 민감한 서명 아티팩트를 무효화하거나 재발급해야 하는지 검토하십시오. 패키지 업데이트와 키링 회전은 마이크로소프트의 지침에 의해 직접 지원됩니다; 무효화 및 재발급은 마이크로소프트가 설명한 위험에 기반한 신중한 후속 조치입니다.
