A Microsoft lançou atualizações emergenciais fora do ciclo regular de correções para corrigir uma vulnerabilidade crítica no ASP.NET Core que poderia permitir que um invasor elevasse privilégios em aplicações afetadas. A falha, rastreada como CVE-2026-40372, recebeu pontuação CVSS 9.1 de 10 e foi classificada pela empresa como de severidade “Importante”.

Segundo o alerta da Microsoft, o problema está relacionado à verificação inadequada de assinaturas criptográficas no ASP.NET Core. Em termos práticos, isso significa que um invasor não autorizado, explorando a falha pela rede, poderia manipular mecanismos de proteção de dados usados pela aplicação e, em cenários bem-sucedidos, obter privilégios de SYSTEM.

A vulnerabilidade afeta especificamente aplicações que utilizam o pacote Microsoft.AspNetCore.DataProtection 10.0.6 via NuGet, seja de forma direta ou por meio de dependências como Microsoft.AspNetCore.DataProtection.StackExchangeRedis. Além disso, a cópia vulnerável da biblioteca precisa ter sido carregada em tempo de execução, e a aplicação deve estar rodando em Linux, macOS ou outro sistema operacional não Windows.

O componente DataProtection é usado para proteger informações sensíveis em aplicações ASP.NET Core, incluindo cookies de autenticação, tokens antifraude e outros dados que dependem de criptografia autenticada. A falha foi causada por uma regressão nos pacotes Microsoft.AspNetCore.DataProtection das versões 10.0.0 a 10.0.6, que fazia o mecanismo de criptografia autenticada calcular a validação HMAC sobre bytes incorretos do payload e, em alguns casos, descartar o hash calculado.

Com isso, um invasor poderia criar payloads falsificados capazes de passar pelas verificações de autenticidade do DataProtection. A exploração também poderia permitir a descriptografia de payloads anteriormente protegidos, ampliando o risco para sessões autenticadas, tokens de redefinição de senha, chaves de API e outros mecanismos sensíveis usados por aplicações web.

A Microsoft corrigiu o problema no ASP.NET Core 10.0.7 e recomenda que administradores e equipes de desenvolvimento atualizem imediatamente os ambientes afetados. No entanto, a empresa alerta que a atualização por si só pode não ser suficiente em todos os casos. Se um invasor tiver conseguido se autenticar como um usuário privilegiado durante a janela de exposição, ele pode ter induzido a aplicação a emitir tokens legítimos, como sessões renovadas ou links de redefinição de senha.

Esses tokens podem continuar válidos mesmo após a atualização para a versão 10.0.7, a menos que o anel de chaves do DataProtection seja rotacionado. Por isso, além da aplicação do patch, a mitigação adequada deve incluir a rotação das chaves, revisão de tokens emitidos durante o período vulnerável e análise de logs em busca de comportamentos anômalos.

O caso reforça a importância de monitorar dependências de software, especialmente bibliotecas criptográficas e componentes de autenticação usados por aplicações modernas. Em ambientes corporativos, falhas desse tipo podem ter impacto significativo, pois afetam diretamente a confiança em sessões, tokens e mecanismos de autorização.