SchwachstellenCloud-Sicherheit

Kritische Sicherheitslücke in ASP.NET Core: Microsoft stopft Privileg-Eskalations-Bug

Kritische Sicherheitslücke in ASP.NET Core: Microsoft stopft Privileg-Eskalations-Bug
Zusammenfassung

Microsoft hat eine kritische Sicherheitslücke in ASP.NET Core behoben, die es Angreifern ermöglichte, ihre Berechtigungen zu erhöhen und potenziell SYSTEM-Privilegien zu erlangen. Die Schwachstelle CVE-2026-40372 mit einem CVSS-Score von 9,1 betrifft die Versionen 10.0.0 bis 10.0.6 des NuGet-Pakets Microsoft.AspNetCore.DataProtection und entstand durch einen Fehler bei der Überprüfung kryptografischer Signaturen. Das Problem liegt darin, dass das HMAC-Validierungs-Tag fehlerhaft berechnet wird, was Angreifern ermöglicht, gefälschte Payloads zu erstellen, die die Authentizitätsprüfungen durchlaufen, oder zuvor geschützte Daten in Authentifizierungscookies und Anti-Forgery-Tokens zu entschlüsseln. Microsoft hat die Lücke in Version 10.0.7 geschlossen. Für deutsche Unternehmen und Behörden, insbesondere solche, die ASP.NET Core-basierte Webanwendungen einsetzen, stellt dies eine unmittelbare Bedrohung dar – Angreifer könnten sich als privilegierte Nutzer authentifizieren und langfristig gültige Tokens wie Passwort-Reset-Links generieren. Eine unverzügliche Aktualisierung auf Version 10.0.7 ist essentiell, wobei auch eine Rotation des DataProtection-Schlüsselbunds empfohlen wird, um bereits ausgegebene Token zu invalidieren.

Die Schwachstelle CVE-2026-40372 entstand durch einen kritischen Programmierungsfehler in der Microsoft.AspNetCore.DataProtection-Komponente. Wie Microsoft in seinem Security Advisory erklärt, verursacht eine Regression in den NuGet-Paketen der Versionen 10.0.0 bis 10.0.6 ein fehlerhaftes Verhalten bei der Berechnung des HMAC-Validierungs-Tags. Der verwaltete authentifizierte Encryptor berechnet seinen Hashwert über falsche Payload-Bytes und verwirft das Ergebnis teilweise – ein kritischer Fehler, der die gesamte Authentifizierungskette gefährdet.

Das größte Sicherheitsrisiko liegt in der Möglichkeit, gefälschte Payloads zu erstellen, die die Authentifizierungsprüfungen von DataProtection passieren. Ein Angreifer könnte zudem zuvor geschützte Payloads in Authentifizierungs-Cookies, Antiforgery-Tokens und ähnlichen sensiblen Daten entschlüsseln. Dies öffnet Tür und Tor für Man-in-the-Middle-Angriffe und Session-Hijacking.

Besonders bemerkenswert ist das Szenario, in dem ein Angreifer mit gefälschten Payloads als privilegierter Benutzer authentifiziert wird. In diesem Fall könnte die Anwendung legitim signierte Tokens – wie Session-Refresh-Token, API-Keys oder Password-Reset-Links – an den Angreifer ausstellen. Diese Tokens bleiben nach dem Update auf Version 10.0.7 gültig, solange der DataProtection Key Ring nicht neu rotiert wird. Dies ist ein kritisches Nachbearbeitungsproblem, das viele Administratoren übersehen könnten.

Microsoft hat die Lücke in ASP.NET Core Version 10.0.7 geschlossen. Allerdings empfehlen Sicherheitsexperten zusätzlich zur Update-Installation auch die sofortige Rotation des DataProtection Key Rings, um bereits ausgestellte, möglicherweise kompromittierte Tokens ungültig zu machen.

Deutsche Unternehmen sollten ihre ASP.NET Core-Deployments umgehend überprüfen und auf Version 10.0.7 oder höher aktualisieren. Die Lücke erfordert zwar mehrere Voraussetzungen für eine erfolgreiche Ausnutzung, dennoch ist die Gefahr real: Ein Angreifer mit Netzwerkzugriff könnte SYSTEM-Privilegien erlangen und damit vollständige Kontrolle über die betroffenen Systeme übernehmen.

Ähnliche Artikel