Серьезный дефект в последних сборках .NET вынудил выпустить срочный патч: Microsoft предупреждает, что затронутые приложения могут предоставить злоумышленникам привилегии SYSTEM. — neowin.net
.NET является основной частью Windows и других операционных систем, поскольку многие приложения используют эту платформу для работы на миллиардах устройств. Microsoft одновременно поддерживает несколько версий .NET и регулярно настоятельно призывает ИТ-администраторов не использовать неподдерживаемые версии этой технологии. Это важно, поскольку уязвимости безопасности в этой платформе могут создать значительные риски для цепочки поставок. Теперь Microsoft выпустила внеплановое обновление безопасности для последней версии .NET.
Microsoft отмечает, что после выпуска .NET 10.0.6 во время Patch Tuesday несколько клиентов сообщили о сбоях в расшифровке в своих приложениях. Пока редмондская технологическая компания расследовала эту проблему, она также обнаружила более серьезную проблему, а именно уязвимость безопасности.
Эта уязвимость имеет тег CVE-2026-40372 и уровень критичности 9.1. Она позволяет злоумышленнику использовать эксплойт повышения привилегий (EoP) путем подделки файлов cookie аутентификации и расшифровки некоторых защищенных полезных данных. Этот дефект присутствует в пакете NuGet Microsoft.AspNetCore.DataProtection, в котором «управляемый аутентифицированный шифратор может вычислить свой тег проверки HMAC по неверным байтам полезной нагрузки, а затем отбросить вычисленный хеш, что может привести к повышению привилегий».
Microsoft подчеркнула, что затронуты все не-Windows операционные системы с .NET 10.0.6. Вы также затронуты, если выполняются все следующие условия:
- Ваше приложение или библиотека ссылались на версии Microsoft.AspNetCore.DataProtection с 10.0.0 по 10.0.6 из NuGet
- Сборка использовала целевой фреймворк net462 или netstandard2.0 этого пакета. Это происходит, когда ваше приложение не нацелено на net10.0 и использует пакет (например, net8.0, net9.0, net481 для mono и т. д.). Эта комбинация необычна, поскольку пакеты NuGet 10.0 обычно предназначены для использования с .NET 10.
- Приложение работало под управлением Linux, macOS или любой другой операционной системы, кроме Windows.
Некоторые другие конфигурации также могут быть затронуты, и более подробную информацию можно найти здесь.
Для устранения этого пробела в безопасности Microsoft выпустила внеплановое обновление безопасности, а именно .NET 10.0.7, которое также исправляет ошибку регрессии в расшифровке. Вы можете загрузить и установить его здесь, а затем выполнить команду dotnet –info в командной строке, чтобы убедиться, что у вас установлена последняя версия. После этого пересоберите и повторно разверните зависимое программное обеспечение, используя этот обновленный пакет.
В целом это довольно серьезная проблема, что также подчеркивается решением Microsoft выпустить внеплановое обновление так скоро после Patch Tuesday. Технологический гигант заявляет, что злоумышленник, успешно использующий этот дефект, может получить привилегии SYSTEM, что позволит ему читать файлы и изменять данные, поэтому крайне важно как можно скорее установить .NET 10.0.7, если вы затронуты.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Usama Jawad