Seguir 
A Microsoft lançou atualizações fora do calendário para a CVE-2026-40372, uma vulnerabilidade de escalonamento de privilégios de alto impacto no ASP.NET Core ligada às APIs criptográficas de Proteção de Dados da plataforma. Relatórios públicos indicam que a falha possui uma pontuação CVSS de 9.1 e poderia permitir que um atacante não autenticado falsificasse materiais de autenticação e, por fim, obtivesse privilégios de SISTEMA em sistemas afetados.
A questão se destaca não apenas por sua gravidade, mas também porque foi séria o suficiente para desencadear um lançamento de emergência fora do ciclo normal de correções. A BleepingComputer relata que a Microsoft investigou após clientes observarem falhas de descriptografia após a atualização .NET 10.0.6, enquanto o The Hacker News observa que o bug foi relatado por um pesquisador anônimo e corrigido no ASP.NET Core 10.0.7.
Análise da CVE-2026-40372
De acordo com os detalhes da Microsoft citados por ambas as publicações, a CVE-2026-40372 origina-se de uma verificação inadequada de uma assinatura criptográfica no ASP.NET Core. Mais especificamente, os pacotes afetados da Microsoft.AspNetCore.DataProtection 10.0.0–10.0.6 NuGet poderiam calcular a tag de validação HMAC sobre os bytes errados do payload e, em alguns casos, descartar o hash calculado. Isso quebra o modelo de confiança por trás dos dados de aplicação protegidos e abre caminho para payloads falsificados que passam em verificações de autenticidade.
A superfície de ataque é mais estreita do que um título genérico “todos os aplicativos ASP.NET Core são vulneráveis” poderia sugerir. O The Hacker News afirma que a exploração bem-sucedida depende de três condições: o aplicativo deve usar o Microsoft.AspNetCore.DataProtection 10.0.6 do NuGet diretamente ou através de um pacote dependente, a cópia do NuGet deve realmente ser carregada em tempo de execução, e o aplicativo deve ser executado em Linux, macOS, ou outro sistema operacional não-Windows.
Se essas condições forem atendidas, o impacto pode ser grave. A rotina de validação afetada pode permitir que um atacante falsifique payloads e descriptografe valores previamente protegidos armazenados em itens como cookies de autenticação, tokens antifalsificação, TempData e estado do OpenID Connect. A Microsoft também afirma que a exploração pode permitir divulgação de arquivos e modificação de dados, embora não afete a disponibilidade.
O cenário mais perigoso para empresas é o escalonamento de privilégios através do abuso de confiança em vez de execução de código barulhenta. Se um atacante puder autenticar-se como um usuário privilegiado durante o período vulnerável, o aplicativo pode emitir artefatos validamente assinados para o atacante, incluindo sessões atualizadas, chaves de API ou links de redefinição de senha. Esses artefatos podem permanecer válidos mesmo após o pacote ser atualizado, a menos que os defensores também girem o anel de chaves de Proteção de Dados.
Mitigação da CVE-2026-40372
A correção principal é direta: atualizar o Microsoft.AspNetCore.DataProtection para a versão 10.0.7 e redesplegar aplicativos afetados. A orientação da Microsoft, conforme citado pela BleepingComputer, é aplicar o novo pacote o mais rápido possível para que a rotina de validação quebrada seja corrigida e os payloads falsificados sejam rejeitados para o futuro.
Dito isso, apenas corrigir pode não fechar completamente a exposição. Ambos os relatórios observam que tokens emitidos durante o período vulnerável podem permanecer válidos após a atualização, a menos que o anel de chaves de Proteção de Dados seja rotacionado. Na prática, as organizações devem tratar a rotação de chaves como parte do fluxo de trabalho de remediação, especialmente para aplicativos voltados para a internet que dependem fortemente de cookies, tokens antifalsificação, fluxos de redefinição de senha ou outro estado de aplicação assinado. Essa última priorização é uma inferência operacional baseada nos tipos de tokens afetados e nas pré-condições de exploração.
Um plano de resposta prático é identificar aplicativos ASP.NET Core não-Windows que carregaram o pacote NuGet vulnerável em tempo de execução, corrigi-los para a versão 10.0.7, rotacionar o anel de chaves de Proteção de Dados e revisar se sessões privilegiadas ou outros artefatos assinados podem ter sido emitidos enquanto o aplicativo estava exposto. Onde for viável, as equipes também devem considerar expirar ou reemitir material de sessão sensível após a remediação. Os critérios de triagem de pacote e tempo de execução vêm diretamente das condições publicadas pela Microsoft; a etapa de revisão e reemissão de tokens é uma inferência defensiva razoável baseada no alerta da Microsoft de que tokens assinados legalmente podem sobreviver à atualização.
Além disso, aproveitando a Plataforma de Inteligência de Deteção de AI-Genuína da SOC Prime apoiada pela expertise em defesa cibernética de ponta, organizações globais podem adotar uma postura de segurança resiliente e transformar seu SOC para sempre ficar à frente das ameaças emergentes ligadas à exploração de dia-zero.
FAQ
O que é a CVE-2026-40372 e como ela funciona?
A CVE-2026-40372 é uma falha de escalonamento de privilégios do ASP.NET Core nas APIs criptográficas de Proteção de Dados. Os pacotes afetados podem validar os bytes errados e descartar o HMAC computado em alguns casos, o que pode permitir que atacantes falsifiquem payloads protegidos e abusem dos mecanismos de confiança do aplicativo, como cookies de autenticação e outros estados assinados.
Quando a CVE-2026-40372 foi descoberta pela primeira vez?
A data precisa de descoberta privada não é mencionada nos dois relatórios. O que é público é que a Microsoft lançou correções fora do calendário em 22 de abril de 2026, e a BleepingComputer diz que a Microsoft começou a investigar após clientes relatarem falhas de descriptografia após a atualização .NET 10.0.6. O The Hacker News também informa que um pesquisador anônimo foi creditado por relatar a falha.
Qual é o impacto da CVE-2026-40372 nos sistemas?
A exploração bem-sucedida pode permitir payloads falsificados, divulgação de dados protegidos, divulgação de arquivos, modificação de dados e escalonamento de privilégios até SISTEMA em sistemas afetados. Os relatórios também observam que a disponibilidade não é impactada.
A CVE-2026-40372 ainda pode me afetar em 2026?
Sim. Os sistemas ainda podem estar expostos em 2026 se continuarem a executar o pacote de Proteção de Dados vulnerável sob as condições afetadas, especialmente em hosts Linux, macOS ou outros não-Windows. Mesmo após a correção, artefatos emitidos durante o período vulnerável podem permanecer válidos até que o anel de chaves de Proteção de Dados seja rotacionado.
Como posso me proteger da CVE-2026-40372?
Atualize o Microsoft.AspNetCore.DataProtection para a versão 10.0.7, redesplegue aplicativos afetados, rotacione o anel de chaves de Proteção de Dados e revise se artefatos sensíveis assinados como cookies de autenticação, sessões de atualização, chaves de API ou links de redefinição precisam ser invalidados ou reemitidos. A atualização do pacote e a rotação do anel de chaves são diretamente suportadas pela orientação da Microsoft; a invalidação e a reemissão são ações prudentes de acompanhamento baseadas no risco descrito pela Microsoft.
