Segui 
Microsoft ha rilasciato aggiornamenti fuori dal ciclo per CVE-2026-40372, una vulnerabilità di escalation dei privilegi ad alto impatto in ASP.NET Core legata alle API crittografiche di protezione dei dati della piattaforma. I rapporti pubblici dicono che la falla ha un punteggio CVSS di 9.1 e potrebbe permettere a un attaccante non autenticato di falsificare il materiale di autenticazione e in ultima analisi ottenere privilegi SYSTEM sui sistemi colpiti.
Il problema spicca non solo per la sua gravità, ma anche perché è stato abbastanza serio da innescare un rilascio d’emergenza al di fuori del normale ciclo di patch. BleepingComputer riporta che Microsoft ha indagato dopo che i clienti hanno riscontrato fallimenti di decrittazione in seguito all’aggiornamento .NET 10.0.6, mentre The Hacker News nota che il bug è stato segnalato da un ricercatore anonimo e risolto in ASP.NET Core 10.0.7.
Analisi di CVE-2026-40372
Secondo i dettagli di Microsoft citati da entrambe le pubblicazioni, CVE-2026-40372 deriva da una verifica impropria di una firma crittografica in ASP.NET Core. Più in particolare, i pacchetti NuGet Microsoft.AspNetCore.DataProtection 10.0.0–10.0.6 colpiti potrebbero calcolare il tag di convalida HMAC sui byte sbagliati del payload e poi scartare l’hash calcolato in alcuni casi. Ciò rompe il modello di fiducia dietro i dati delle applicazioni protette e apre la porta a payload falsificati che superano i controlli di autenticità.
La superficie di attacco è più ristretta di quanto un titolo generico “tutte le app ASP.NET Core sono vulnerabili” possa suggerire. The Hacker News dice che lo sfruttamento con successo dipende da tre condizioni: l’applicazione deve utilizzare Microsoft.AspNetCore.DataProtection 10.0.6 da NuGet direttamente o tramite un pacchetto dipendente, la copia di NuGet deve effettivamente essere caricata a runtime e l’applicazione deve funzionare su Linux, macOS o un altro sistema operativo non Windows.
Se tali condizioni sono soddisfatte, l’impatto può essere grave. La routine di convalida colpita può consentire a un attaccante di falsificare payload e decifrare valori precedentemente protetti memorizzati in elementi come cookie di autenticazione, token anti-forgery, TempData e stato OpenID Connect. Microsoft dice anche che lo sfruttamento potrebbe abilitare la divulgazione di file e la modifica dei dati, anche se non influisce sulla disponibilità.
Lo scenario aziendale più pericoloso è l’escalation di privilegi tramite abuso di fiducia piuttosto che esecuzione di codice rumoroso. Se un attaccante può autenticarsi come utente privilegiato durante la finestra vulnerabile, l’applicazione può emettere artefatti legittimamente firmati all’attaccante, inclusi sessioni aggiornate, chiavi API o link di reimpostazione password. Tali artefatti possono rimanere validi anche dopo l’aggiornamento del pacchetto a meno che i difensori non ruotino anche l’anello delle chiavi di protezione dei dati.
Mitigazione di CVE-2026-40372
La correzione principale è semplice: aggiornare Microsoft.AspNetCore.DataProtection alla versione 10.0.7 e ridistribuire le applicazioni colpite. La guida di Microsoft, come citata da BleepingComputer, è di applicare il nuovo pacchetto il prima possibile in modo che la routine di convalida rotta sia corretta e i payload falsificati siano rifiutati in futuro.
Detto ciò, rattoppare da solo potrebbe non chiudere completamente l’esposizione. Entrambi i rapporti notano che i token emessi durante il periodo vulnerabile possono rimanere validi dopo l’aggiornamento a meno che l’anello delle chiavi di protezione dei dati non venga ruotato. In pratica, le organizzazioni dovrebbero trattare la rotazione delle chiavi come parte del flusso di lavoro di rimedio, specialmente per le app rivolte a internet che si basano pesantemente su cookie, token anti-forgery, flussi di reimpostazione password o altri stati dell’applicazione firmati. Quest’ultima prioritizzazione è un’inferenza operativa basata sui tipi di token colpiti e sulle precondizioni di exploit.
Un piano di risposta pratico è identificare le applicazioni ASP.NET Core non Windows che hanno caricato il pacchetto NuGet vulnerabile a runtime, aggiornarle alla 10.0.7, ruotare l’anello delle chiavi di protezione dei dati e rivedere se sessioni privilegiate o altri artefatti firmati possono essere stati emessi mentre l’applicazione era esposta. Dove fattibile, i team dovrebbero anche considerare di far scadere o riemettere materiale di sessione sensibile dopo la mitigazione. I criteri di triage del pacchetto e del runtime derivano direttamente dalle condizioni pubblicate da Microsoft; la revisione e la riemissione dei token è un’inferenza difensiva ragionevole dall’avvertimento di Microsoft che i token legittimamente firmati possono sopravvivere all’aggiornamento.
Inoltre, sfruttando la piattaforma AI-Native Detection Intelligence di SOC Prime supportata dai migliori esperti di difesa cibernetica, le organizzazioni globali possono adottare una postura di sicurezza resiliente e trasformare il loro SOC per restare sempre avanti alle minacce emergenti legate allo sfruttamento delle vulnerabilità zero-day.
FAQ
Cos’è CVE-2026-40372 e come funziona?
CVE-2026-40372 è un difetto di escalation dei privilegi in ASP.NET Core nelle API crittografiche di protezione dei dati. I pacchetti colpiti possono convalidare i byte sbagliati e scartare l’HMAC calcolato in alcuni casi, il che può permettere agli attaccanti di falsificare i payload protetti e abusare dei meccanismi di fiducia delle applicazioni come i cookie di autenticazione e altri stati firmati.
Quando è stato scoperto per la prima volta CVE-2026-40372?
La data precisa di scoperta privata non è indicata nei due rapporti. Ciò che è pubblico è che Microsoft ha rilasciato correzioni fuori dal ciclo il 22 aprile 2026 e BleepingComputer dice che Microsoft ha iniziato a investigare dopo che i clienti hanno riportato fallimenti di decrittazione in seguito all’aggiornamento .NET 10.0.6. The Hacker News dice anche che un ricercatore anonimo è stato accreditato per aver segnalato la falla.
Qual è l’impatto di CVE-2026-40372 sui sistemi?
Lo sfruttamento con successo può consentire payload falsificati, divulgazione di dati protetti, divulgazione di file, modifica dei dati ed escalation dei privilegi fino a SYSTEM sui sistemi colpiti. I rapporti notano anche che la disponibilità non è colpita.
CVE-2026-40372 può ancora colpirmi nel 2026?
Sì. I sistemi possono essere ancora esposti nel 2026 se continuano a eseguire il pacchetto di protezione dei dati vulnerabile nelle condizioni colpite, specialmente su host Linux, macOS o altri non Windows. Anche dopo l’aggiornamento, gli artefatti emessi durante la finestra vulnerabile possono rimanere validi finché l’anello delle chiavi di protezione dei dati non viene ruotato.
Come posso proteggermi da CVE-2026-40372?
Aggiorna Microsoft.AspNetCore.DataProtection alla 10.0.7, ridistribuisci le applicazioni colpite, ruota l’anello delle chiavi di protezione dei dati, e verifica se artefatti firmati sensibili come cookie di autenticazione, sessioni di aggiornamento, chiavi API o link di reimpostazione dovrebbero essere invalidati o riemessi. L’aggiornamento del pacchetto e la rotazione dell’anello delle chiavi sono direttamente supportati dalla guida di Microsoft; invalidamento e riemissione sono azioni prudenti di follow-up basate sul rischio descritto da Microsoft.
