Microsoft терміново випустила позапланове оновлення безпеки, яке виправляє критичну вразливість у бібліотеці ASP.NET Core для систем Linux та macOS. Ця помилка могла дозволити зловмисникам отримати повний контроль над серверами, отримавши права рівня SYSTEM.

Проблема криється у механізмі криптографічної перевірки в бібліотеці Microsoft.AspNetCore.DataProtection. Через неправильну валідацію цифрових підписів система іноді некоректно перевіряла цілісність зашифрованих даних, що відкривало шлях для створення підроблених даних та отримання підвищених привілеїв.

Вразливими виявилися версії бібліотеки від 10.0.0 до 10.0.6. Для усунення загрози компанія випустила оновлення .NET 10.0.7. Однак просте оновлення не гарантує безпеку, якщо атака вже відбулася раніше.

Адміністраторам систем наголошується на необхідності не лише встановити патч, а й ретельно перевірити сервери на наявність скомпрометованих ключів та токенів автентифікації. Зловмисники могли створити підроблені облікові дані, які залишаться в системі навіть після оновлення.

Подібні помилки в базових бібліотеках становлять серйозну загрозу для великої кількості веб-додатків та хмарних сервісів. Компаніям, що використовують ASP.NET Core, рекомендується терміново вжити заходів для захисту своїх інфраструктур від потенційних кібератак.