Suivre 
Microsoft a publié des mises à jour hors bande pour CVE-2026-40372, une vulnérabilité de l’élévation des privilèges ASP.NET Core à fort impact liée aux API cryptographiques de protection des données de la plate-forme. Les rapports publics indiquent que la faille a un score CVSS de 9,1 et pourrait permettre à un attaquant non authentifié de falsifier des matériaux d’authentification et finalement d’obtenir des privilèges SYSTEM sur les systèmes affectés.
Le problème se distingue non seulement par sa gravité, mais aussi parce qu’il était suffisamment sérieux pour déclencher une publication d’urgence en dehors du cycle de correctifs normal. BleepingComputer rapporte que Microsoft a enquêté après que des clients ont constaté des échecs de décryptage après la mise à jour .NET 10.0.6, tandis que The Hacker News note que le bogue a été signalé par un chercheur anonyme et corrigé dans ASP.NET Core 10.0.7.
Analyse de CVE-2026-40372
Selon les détails de Microsoft cités par les deux publications, CVE-2026-40372 provient d’une vérification incorrecte d’une signature cryptographique dans ASP.NET Core. Plus précisément, les paquets NuGet Microsoft.AspNetCore.DataProtection 10.0.0–10.0.6 affectés pourraient calculer l’étiquette de validation HMAC sur les mauvais octets de la charge utile puis dans certains cas, rejeter le hachis calculé. Cela brise le modèle de confiance derrière les données d’application protégées et ouvre la porte à des charges utiles falsifiées qui passent les contrôles d’authenticité.
La surface d’attaque est plus étroite que ce que pourrait suggérer un titre générique « toutes les applications ASP.NET Core sont vulnérables ». The Hacker News dit que l’exploitation réussie dépend de trois conditions : l’application doit utiliser Microsoft.AspNetCore.DataProtection 10.0.6 de NuGet soit directement, soit via un paquet dépendant, la copie NuGet doit être effectivement chargée au moment de l’exécution, et l’application doit fonctionner sur Linux, macOS ou un autre système d’exploitation non Windows.
Si ces conditions sont remplies, l’impact peut être grave. La routine de validation affectée peut permettre à un attaquant de falsifier des charges utiles et de décrypter des valeurs protégées précédemment stockées dans des éléments tels que des cookies d’authentification, des jetons anti-falsification, TempData et l’état OpenID Connect. Microsoft indique également que l’exploitation pourrait permettre la divulgation de fichiers et la modification de données, bien que la disponibilité ne soit pas affectée.
Le scénario d’entreprise le plus dangereux est l’élévation des privilèges par abus de confiance plutôt qu’une exécution de code bruyante. Si un attaquant peut s’authentifier comme utilisateur privilégié pendant la période vulnérable, l’application peut émettre des artefacts suivis légitimement signés à l’attaquant, y compris des sessions actualisées, des clés API ou des liens de réinitialisation de mot de passe. Ces artefacts peuvent rester valides même après la mise à niveau du paquet sauf si les défenseurs tournent également la clef de protection des données.
Atténuation de CVE-2026-40372
La principale solution est simple : mettre à jour Microsoft.AspNetCore.DataProtection à la version 10.0.7 et redéployer les applications affectées. Les conseils de Microsoft, cités par BleepingComputer, consistent à appliquer le nouveau paquet dès que possible afin que la routine de validation brisée soit corrigée et que les charges utiles falsifiées soient rejetées à l’avenir.
Cela dit, le correctif à lui seul peut ne pas fermer complètement l’exposition. Les deux rapports notent que les jetons émis pendant la période vulnérable peuvent rester valides après la mise à niveau à moins que la clef de protection des données ne soit tournée. En pratique, les organisations devraient considérer la rotation des clefs comme faisant partie du processus de remédiation, en particulier pour les applications face à Internet qui dépendent fortement des cookies, des jetons anti-falsification, des flux de réinitialisation de mot de passe ou d’autres états d’application signés. Cette dernière priorisation est une inférence opérationnelle basée sur les types de jetons affectés et les préconditions d’exploitation.
Un plan de réponse pratique consiste à identifier les applications ASP.NET Core non-Windows qui ont chargé le paquet NuGet vulnérable au moment de l’exécution, à les mettre à niveau vers 10.0.7, à faire tourner la clef de protection des données et à examiner si des sessions privilégiées ou d’autres artefacts signés ont pu être émis pendant que l’application était exposée. Là où cela est réalisable, les équipes devraient également envisager d’expirer ou de réémettre les matériaux de session sensibles après la remédiation. Les critères de triage du paquet et de l’exécution proviennent directement des conditions publiées par Microsoft ; l’étape de révision et de réémission des jetons est une inférence défensive raisonnable basée sur l’avertissement de Microsoft selon lequel les jetons légitimement signés peuvent survivre à la mise à niveau.
De plus, en exploitant la Plateforme d’Intelligence de Détection AI-Native de SOC Prime soutenue par une expertise de défense cybernétique de premier plan, les organisations mondiales peuvent adopter une posture de sécurité résiliente et transformer leur SOC pour rester toujours en avance sur les menaces émergentes liées à l’exploitation des zéro-day.
FAQ
Qu’est-ce que CVE-2026-40372 et comment fonctionne-t-il ?
CVE-2026-40372 est une faille d’élévation des privilèges ASP.NET Core dans les API cryptographiques de protection des données. Les paquets affectés peuvent valider les mauvais octets et rejeter le HMAC calculé dans certains cas, ce qui peut permettre aux attaquants de falsifier des charges utiles protégées et d’abuser des mécanismes de confiance des applications tels que les cookies d’authentification et d’autres états signés.
Quand CVE-2026-40372 a-t-il été découvert pour la première fois ?
La date de découverte privée précise n’est pas indiquée dans les deux rapports. Ce qui est public, c’est que Microsoft a publié des correctifs hors bande le 22 avril 2026, et BleepingComputer indique que Microsoft a commencé à enquêter après que des clients ont signalé des échecs de décryptage après la mise à jour .NET 10.0.6. The Hacker News indique également qu’un chercheur anonyme a été crédité pour avoir signalé la faille.
Quel est l’impact de CVE-2026-40372 sur les systèmes ?
Une exploitation réussie peut permettre la falsification de charges utiles, la divulgation de données protégées, la divulgation de fichiers, la modification de données et l’élévation des privilèges jusqu’à SYSTEM sur les systèmes affectés. Les rapports notent également que la disponibilité n’est pas affectée.
CVE-2026-40372 peut-il encore m’affecter en 2026 ?
Oui. Les systèmes peuvent toujours être exposés en 2026 s’ils continuent à exécuter le paquet de protection des données vulnérable sous les conditions affectées, notamment sur Linux, macOS ou d’autres hôtes non Windows. Même après le patch, les artefacts émis pendant la période vulnérable peuvent rester valides jusqu’à ce que la clef de protection des données soit tournée.
Comment puis-je me protéger de CVE-2026-40372 ?
Mettez à jour Microsoft.AspNetCore.DataProtection à 10.0.7, redéployez les applications affectées, faites tourner la clef de protection des données et examinez si des artefacts signés sensibles tels que des cookies d’authentification, des sessions de rafraîchissement, des clés API ou des liens de réinitialisation devraient être invalidés ou réémis. La mise à jour du paquet et la rotation de la clef sont directement soutenues par les conseils de Microsoft ; l’invalidation et la réémission sont des actions de suivi prudentes basées sur le risque décrit par Microsoft.
