Стежити 
Microsoft випустила позачергові оновлення для CVE-2026-40372, вразливості підвищення привілеїв ASP.NET Core з високим впливом, пов’язаної з криптографічними API захисту даних платформи. Згідно з публічними повідомленнями, вразливість має оцінку CVSS у 9.1 і може дозволити неавтентифікованому зловмиснику підробити автентифікаційні матеріали і, врешті-решт, отримати привілеї SYSTEM на уражених системах.
Ця проблема виділяється не лише своєю суворістю, але й тим, що вона була досить серйозною, щоб викликати екстрений випуск поза звичайним циклом виправлень. BleepingComputer повідомляє, що Microsoft почала розслідування після того, як клієнти побачили збої у декодуванні після оновлення .NET 10.0.6, а The Hacker News зазначає, що про проблему повідомив анонімний дослідник та що вона була виправлена у ASP.NET Core 10.0.7.
Аналіз CVE-2026-40372
За інформацією Microsoft, процитованою обома публікаціями, CVE-2026-40372 випливає з неналежної перевірки криптографічного підпису в ASP.NET Core. Більш конкретно, уражені пакети Microsoft.AspNetCore.DataProtection версій 10.0.0–10.0.6 можуть обчислювати тег валідації HMAC над неправильними байтами та у деяких випадках відкидати обчислений хеш. Це порушує модель довіри захищених даних додатку та відкриває можливості для підроблених даних, які проходять перевірку автентичності.
Поверхня атаки вужче, ніж заголовок ‘всі додатки ASP.NET Core вразливі’ може припустити. The Hacker News стверджує, що успішне використання вразливості залежить від трьох умов: програма повинна використовувати Microsoft.AspNetCore.DataProtection 10.0.6 з NuGet безпосередньо або через залежний пакет, копія NuGet має реально завантажуватися під час виконання, а програма повинна працювати на Linux, macOS або іншій не-Windows операційній системі.
Якщо ці умови виконані, наслідки можуть бути серйозними. Уражена процедура валідації може дозволити атакуючому підробляти дані та декодувати раніше захищені значення, збережені в таких елементах, як автентифікаційні файли cookie, антитокени, TempData та стан OpenID Connect. Microsoft також стверджує, що використання вразливості може дозволити розкриття файлів та модифікацію даних, хоча це не впливає на доступність.
Найбільш небезпечним сценарієм у підприємствах є підвищення привілеїв через зловживання довірою, а не нав’язливе виконання коду. Якщо зловмисник може автентифікуватися як привілейований користувач під час вразливого періоду, додаток може видати легітимно підписані сесії, ключі API або посилання для скидання пароля зловмиснику. Ці артефакти можуть залишатися дійсними навіть після оновлення пакета, якщо оборонці не оберуть ключове кільце Data Protection.
Пом’якшення наслідків CVE-2026-40372
Основне виправлення є простим: оновити Microsoft.AspNetCore.DataProtection до версії 10.0.7 та повторно розгорнути уражені додатки. За рекомендацією Microsoft, як цитує BleepingComputer, застосуйте новий пакет якомога швидше, щоб виправити зламану процедуру валідації та відіхилити підроблені дані в майбутньому.
Однак, саме патчування може не повністю закрити експозицію. Обидва звіти зазначають, що токени, видані під час вразливого періоду, можуть залишатися дійсними після оновлення, якщо кільце ключів Data Protection не буде обернутим. На практиці, організації повинні розглядати обертання ключів як частину робочого процесу усунення наслідків, особливо для додатків, що орієнтовані на інтернет, які значно покладаються на файли cookie, антитокени, процеси скидання пароля або інші підписані стани додатку. Це останнє пріоритезація є операційним висновком на основі уражених типів токенів та умов написання експлойту.
Практичний план реагування полягає в тому, щоб ідентифікувати ASP.NET Core додатки не на Windows, які завантажили вразливий пакет NuGet під час виконання, оновити їх до 10.0.7, обернути кільце ключів Data Protection та перевірити, чи не були видані привілейовані сесії або інші підписані артефакти під час експозиції програми. По можливості, команди також повинні розглянути можливість завершення терміну дії або повторної видачі чутливих матеріалів сесії після виправлення. Критерії тріажування пакетів та середовища виконання взяті безпосередньо з опублікованих умов Microsoft; крок перевірки та перевипуску токенів – розумний захисний висновок з попередження Microsoft, що легітимно підписані токени можуть пережити оновлення.
Крім того, використовуючи AI-надихомлена платформа для виявлення загроз від SOC Prime , що підтримується кращою експертизою кіберзахисту, глобальні організації можуть прийняти стійку безпекову позицію та трансформувати свій SOC, щоб завжди випереджати нові загрози, пов’язані з експлуатацією нульового дня.
FAQ
Що таке CVE-2026-40372 і як вона працює?
CVE-2026-40372 – це вразливість підвищення привілеїв в ASP.NET Core у криптографічних API захисту даних. Уражені пакети можуть перевіряти неправильні байти та у деяких випадках відкидати обчислений HMAC, що може дозволяти зловмисникам підробляти захищені дані та зловживати механізмами довіри додатку, такими як автентифікаційні файли cookie та інші підписані стани.
Коли CVE-2026-40372 була вперше виявлена?
Точна дата приватного виявлення не вказується у двох звітах. Відомо, що Microsoft випустила позачергові виправлення 22 квітня 2026 року, а BleepingComputer стверджує, що Microsoft почала розслідувати після того, як клієнти повідомили про збої у декодуванні після оновлення .NET 10.0.6. The Hacker News також зазначає, що анонімний дослідник отримав визнання за повідомлення про вразливість.
Який вплив має CVE-2026-40372 на системи?
Успішне використання вразливості може дозволяти підроблені дані, розкриття захищених даних, розкриття файлів, модифікацію даних та підвищення привілеїв до рівня SYSTEM на уражених системах. Звіти також відзначають, що доступність не впливає.
Чи може CVE-2026-40372 і далі впливати на мене у 2026 році?
Так. Системи можуть залишатися вразливими у 2026 році, якщо вони продовжують використовувати вразливий пакет Data Protection за уражених умов, особливо на Linux, macOS чи інших не-Windows хостах. Навіть після патчування, артефакти, випущені під час вразливого періоду, можуть залишатися дійсними, допоки кільце ключів Data Protection не обернеться.
Як я можу захистити себе від CVE-2026-40372?
Оновіть Microsoft.AspNetCore.DataProtection до версії 10.0.7, повторно розгорніть уражені додатки, оберніть кільце ключів Data Protection та перевірте, чи потрібно анулювати або перевидавати чутливі підписані артефакти, такі як автентифікаційні файли cookie, оновлені сесії, ключі API або посилання для скидання. Оновлення пакета та обертання ключового кільця безпосередньо підтримуються рекомендаціями Microsoft; анулювання та перевипуски є раціональними діями у відповідь на описаний ризик від Microsoft.
