Underc0de - La Casa de los Informáticos

Microsoft ha publicado actualizaciones fuera de banda para corregir una vulnerabilidad crítica en ASP.NET Core que podría permitir a atacantes escalar privilegios y comprometer aplicaciones web. El fallo, identificado como CVE-2026-40372, presenta una puntuación CVSS de 9.1 sobre 10, lo que lo sitúa en la categoría de alta criticidad dentro del panorama actual de ciberseguridad.

Este problema afecta directamente a aplicaciones que utilizan el componente de protección de datos, lo que puede derivar en la manipulación de tokens de autenticación, exposición de información sensible y acceso no autorizado a sistemas críticos.

¿Qué es CVE-2026-40372 y por qué es tan peligroso?

La vulnerabilidad CVE-2026-40372 radica en una verificación incorrecta de firmas criptográficas dentro del sistema de protección de datos de ASP.NET Core. Según Microsoft, este fallo permite que un atacante no autenticado pueda elevar privilegios dentro de una red.

En términos prácticos, esto significa que un atacante podría:

• Obtener privilegios elevados (incluso nivel sistema)
• Acceder a archivos protegidos
• Modificar datos sensibles
• Manipular mecanismos de autenticación

El fallo fue descubierto y reportado por un investigador anónimo, lo que refuerza la importancia de la colaboración en la detección temprana de vulnerabilidades críticas.

Causa raíz: error en la validación criptográfica

El problema se origina en una regresión introducida en versiones específicas de paquetes NuGet relacionados con DataProtection. En particular, afecta a:

• Microsoft.AspNetCore.DataProtection versiones 10.0.0 a 10.0.6
• Dependencias como Microsoft.AspNetCore.DataProtection.StackExchangeRedis

¿Qué ocurre exactamente?

El cifrador autenticado gestionado:

• Calcula incorrectamente la etiqueta HMAC
• Utiliza bytes erróneos de la carga útil
• En algunos casos, descarta el hash generado

Esto rompe el modelo de seguridad esperado, permitiendo que datos manipulados pasen como legítimos.

Impacto en autenticación y tokens

Uno de los aspectos más críticos de esta vulnerabilidad es su impacto directo en los mecanismos de autenticación. Un atacante podría:

• Falsificar cookies de autenticación
• Manipular tokens antifalsificación
• Generar sesiones válidas sin credenciales legítimas

CitarAdemás, existe un riesgo persistente incluso después de aplicar el parche:

Si un atacante logró autenticarse como usuario privilegiado durante la ventana de exposición, podría haber generado tokens válidos (API keys, sesiones, enlaces de recuperación de contraseña) que seguirán siendo funcionales.

Esto convierte a CVE-2026-40372 en una amenaza especialmente peligrosa, ya que su impacto puede extenderse más allá del momento de la corrección.

Condiciones necesarias para la explotación

No todos los entornos están expuestos automáticamente. Microsoft ha indicado que la explotación exitosa requiere que se cumplan los siguientes requisitos:

• Uso de paquetes vulnerables de Microsoft.AspNetCore.DataProtection (10.0.0 a 10.0.6)
• Carga de la biblioteca NuGet en tiempo de ejecución
• Ejecución en sistemas operativos como:

• Linux
• macOS
• Otros sistemas no Windows

Esto indica que entornos basados en contenedores, microservicios o infraestructuras cloud podrían ser especialmente vulnerables.

Solución oficial: actualización a ASP.NET Core 10.0.7

Microsoft ha solucionado el problema en la versión 10.0.7 de ASP.NET Core, corrigiendo el error en la validación criptográfica.

Acciones recomendadas inmediatas:

• Actualizar todos los paquetes vulnerables
• Revisar dependencias transitivas en NuGet
• Validar entornos de ejecución
• Medidas adicionales de mitigación

Dado el riesgo persistente asociado a tokens comprometidos, no basta con aplicar el parche. Se recomienda:

1. Rotación del llavero de DataProtection

Cambiar las claves criptográficas para invalidar tokens previamente emitidos.

2. Revocación de sesiones activas

Forzar cierre de sesiones de usuarios autenticados.

3. Auditoría de logs

Buscar actividades sospechosas durante el periodo vulnerable.

4. Revisión de accesos privilegiados

Verificar si hubo escaladas de privilegios no autorizadas.

Implicaciones para la seguridad en aplicaciones modernas

Este incidente evidencia un problema crítico en el desarrollo de aplicaciones modernas: la dependencia de bibliotecas externas y componentes criptográficos complejos.

Lecciones clave:

• Las regresiones en seguridad pueden introducir vulnerabilidades graves
• La criptografía mal implementada puede romper completamente el modelo de confianza
• Los sistemas de autenticación son objetivos prioritarios para atacantes

Además, el hecho de que el fallo afecte principalmente a entornos no Windows refuerza la necesidad de no asumir que Linux o macOS son intrínsecamente más seguros.

Análisis estratégico: riesgos en DevSecOps

Para equipos de desarrollo y seguridad, CVE-2026-40372 subraya la importancia de:

• Integrar análisis de dependencias en pipelines CI/CD
• Implementar pruebas de seguridad continuas
• Mantener visibilidad sobre componentes de terceros

La seguridad debe ser un proceso continuo, no una acción puntual.

En fin...

La vulnerabilidad CVE-2026-40372 en ASP.NET Core representa un riesgo significativo para aplicaciones empresariales, especialmente aquellas que dependen de mecanismos de autenticación basados en DataProtection.

Aunque Microsoft ya ha publicado una solución, la verdadera protección requiere acciones adicionales como la rotación de claves y auditorías de seguridad.

En un entorno donde las amenazas evolucionan constantemente, este incidente sirve como recordatorio de que incluso los componentes más confiables pueden convertirse en vectores de ataque si no se gestionan adecuadamente.

Fuente: https://thehackernews.com/