Folgen 
Microsoft hat außerplanmäßige Updates für CVE-2026-40372 veröffentlicht, eine hochgradige ASP.NET Core-Privilegieneskalations-Schwachstelle, die mit den kryptografischen APIs des Data Protection-Frameworks der Plattform verknüpft ist. Öffentliche Berichte besagen, dass der Fehler einen CVSS-Wert von 9,1 hat und einem nicht authentifizierten Angreifer ermöglichen könnte, Authentifizierungsdaten zu fälschen und letztendlich SYSTEM-Privilegien auf betroffenen Systemen zu erlangen.
Das Problem sticht nicht nur wegen seiner Schwere hervor, sondern auch, weil es ernst genug war, um eine Notfallveröffentlichung außerhalb des normalen Patch-Zyklus auszulösen. BleepingComputer berichtet, dass Microsoft Untersuchungen durchgeführt hat, nachdem Kunden Entschlüsselungsfehler nach dem .NET 10.0.6-Update beobachtet hatten, während The Hacker News anmerkt, dass der Fehler von einem anonymen Forscher gemeldet und in ASP.NET Core 10.0.7 behoben wurde.
Analyse von CVE-2026-40372
Laut von beiden Veröffentlichungen zitierten Microsoft-Details resultiert CVE-2026-40372 aus einer unsachgemäßen Überprüfung einer kryptografischen Signatur in ASP.NET Core. Genauer gesagt könnten die betroffenen Microsoft.AspNetCore.DataProtection 10.0.0–10.0.6 NuGet-Pakete das HMAC-Validierungsetikett über die falschen Bytes der Nutzlast berechnen und dann den berechneten Hash in einigen Fällen verwerfen. Das untergräbt das Vertrauensmodell hinter geschützten Anwendungsdaten und öffnet die Tür zu gefälschten Nutzlasten, die die Authentizitätsprüfungen bestehen.
Die Angriffsfläche ist enger, als eine generische Schlagzeile „alle ASP.NET Core-Apps sind gefährdet“ vermuten lässt. The Hacker News sagt, dass eine erfolgreiche Ausnutzung von drei Bedingungen abhängt: Die Anwendung muss Microsoft.AspNetCore.DataProtection 10.0.6 von NuGet entweder direkt oder durch ein abhängiges Paket verwenden, die NuGet-Kopie muss tatsächlich zur Laufzeit geladen werden und die Anwendung muss auf Linux, macOS oder einem anderen nich-Windows-Betriebssystem laufen.
Wenn diese Bedingungen erfüllt sind, kann der Einfluss schwerwiegend sein. Die betroffene Validierungsroutine könnte einem Angreifer ermöglichen, Nutzlasten zu fälschen und zuvor geschützte Werte, die in Elementen wie Authentifizierungs-Cookies, Antifälschungstoken, TempData und OpenID Connect-Zuständen gespeichert sind, zu entschlüsseln. Microsoft sagt auch, dass eine Ausnutzung Dateioffenlegung und Datenänderung ermöglichen könnte, obwohl sie die Verfügbarkeit nicht beeinträchtigt.
Das gefährlichste Unternehmensszenario ist die Privilegieneskalation durch Missbrauch von Vertrauen anstatt durch laute Code-Ausführung. Wenn sich ein Angreifer während des verwundbaren Zeitfensters als privilegierter Benutzer authentifizieren kann, kann die Anwendung dem Angreifer legitime Folge-Artefakte ausstellen, einschließlich aktualisierter Sitzungen, API-Schlüssel oder Passwortzurücksetzten-Links. Diese Artefakte können gültig bleiben, auch nachdem das Paket aktualisiert wurde, es sei denn, Verteidiger drehen auch den Data Protection-Schlüsselring.
Minderung von CVE-2026-40372
Die primäre Lösung ist einfach: Aktualisiere Microsoft.AspNetCore.DataProtection auf Version 10.0.7 und stelle betroffene Anwendungen neu bereit. Microsofts Anleitung, wie von BleepingComputer zitiert, besteht darin, das neue Paket so schnell wie möglich anzuwenden, damit die beschädigte Validierungsroutine korrigiert wird und gefälschte Nutzlasten zukünftig abgelehnt werden.
Das gesagt, könnte das Patchen allein die Gefahr nicht vollständig beseitigen. Beide Berichte merken an, dass während des gefährdeten Zeitraums ausgestellte Tokens gültig bleiben können, nachdem ein Upgrade durchgeführt wurde, es sei denn, der Data Protection-Schlüsselring wird gedreht. In der Praxis sollten Organisationen die Schlüsseldrehung als Teil des Sanierungsprozesses betrachten, insbesondere für internetbasierte Apps, die stark auf Cookies, Antifälschungstoken, Passwortzurücksetzungsflüsse oder andere signierte Anwendungszustände angewiesen sind. Diese letzte Priorisierung ist eine operationale Folgerung basierend auf den betroffenen Token-Typen und den Ausnutzungsvoraussetzungen.
Ein praxisnaher Reaktionsplan besteht darin, ASP.NET Core-Anwendungen, die das verwundbare NuGet-Paket zur Laufzeit geladen haben, zu identifizieren, sie auf 10.0.7 zu patchen, den Data Protection-Schlüsselring zu drehen und zu überprüfen, ob privilegierte Sitzungen oder andere signierte Artefakte ausgegeben wurden, während die Anwendung exponiert war. Wenn machbar, sollten Teams auch in Betracht ziehen, sensibles Sitzungsmaterial nach der Sanierung ablaufen zu lassen oder neu auszugeben. Die Kriterien für Paket- und Laufzeit-Triage stammen direkt aus Microsofts veröffentlichten Bedingungen; der Schritt zur Token-Überprüfung und -Neuausgabe ist eine vernünftige defensive Schlussfolgerung aus Microsofts Warnung, dass legitim signierte Tokens das Upgrade überdauern könnten.
Zusätzlich können Cyber-Verteidigungsexperten mit SOC Prime’s AI-Native Detection Intelligence Platform unterstützt, globale Organisationen eine widerstandsfähige Sicherheitsstrategie übernehmen und ihr SOC transformieren, um immer einen Schritt voraus vor aufkommenden Bedrohungen bei Zero-Day-Exploits zu sein.
FAQ
Was ist CVE-2026-40372 und wie funktioniert es?
CVE-2026-40372 ist ein ASP.NET Core-Privilegieneskalationsfehler in den kryptografischen APIs des Data Protection-Frameworks. Die betroffenen Pakete können die falschen Bytes validieren und in einigen Fällen den berechneten HMAC verwerfen, was es Angreifern ermöglichen kann, geschützte Nutzlasten zu fälschen und die Vertrauensmechanismen der Anwendung wie Authentifizierungs-Cookies und andere signierte Zustände zu missbrauchen.
Wann wurde CVE-2026-40372 erstmals entdeckt?
Das genaue private Entdeckungsdatum wird in den beiden Berichten nicht genannt. Öffentlich bekannt ist, dass Microsoft außerplanmäßige Fixes am 22. April 2026 veröffentlichte und BleepingComputer sagt, dass Microsoft begann zu untersuchen, nachdem Kunden Entschlüsselungsfehler nach dem .NET 10.0.6-Update gemeldet hatten. The Hacker News sagt ebenfalls, dass ein anonymer Forscher mit der Meldung des Fehlers gewürdigt wurde.
Welche Auswirkungen hat CVE-2026-40372 auf Systeme?
Eine erfolgreiche Ausnutzung kann gefälschte Nutzlasten, Offenlegung geschützter Daten, Dateioffenlegung, Datenänderung und Privilegieneskalation bis hin zu SYSTEM auf betroffenen Systemen ermöglichen. Die Berichte stellen auch fest, dass die Verfügbarkeit nicht beeinträchtigt wird.
Kann CVE-2026-40372 mich 2026 noch betreffen?
Ja. Systeme könnten 2026 weiterhin exponiert sein, wenn sie das verwundbare Data Protection-Paket unter den betroffenen Bedingungen weiterhin ausführen, insbesondere auf Linux, macOS oder anderen nich-Windows-Hosts. Selbst nach dem Patchen können während des gefährdeten Zeitfensters ausgestellte Artefakte gültig bleiben, bis der Data Protection-Schlüsselring gedreht wird.
Wie kann ich mich vor CVE-2026-40372 schützen?
Aktualisiere Microsoft.AspNetCore.DataProtection auf 10.0.7, stelle betroffene Anwendungen neu bereit, drehe den Data Protection-Schlüsselring und überprüfe, ob sensible signierte Artefakte wie Authentifizierungs-Cookies, aktualisierte Sitzungen, API-Schlüssel oder Zurücksetzungslinks ungültig gemacht oder neu ausgestellt werden sollten. Das Paketupdate und die Schlüsseldrehung werden direkt von Microsofts Anleitung unterstützt; Ungültigmachung und Neuausgabe sind kluge Folgemaßnahmen basierend auf dem von Microsoft beschriebenen Risiko.
