Microsoft випустила екстрене оновлення безпеки , що виправляє серйозну вразливість ASP. NET в Linux та macOS
Проблема стосується систем, що працюють на Linux і macOS, і може дозволити зловмисникам отримати високі привілеї доступу до сервера.
Вразливість пов’язана з помилкою у механізмі криптографічної перевірки в бібліотеці Microsoft.AspNetCore.DataProtection. Через неправильну перевірку цифрового підпису система іноді некоректно перевіряла цілісність зашифрованих даних. Це могло дозволити атакуючому створювати підроблені дані та отримувати підвищені права доступу, аж до SYSTEM-рівня, що фактично означає повний контроль над сервером.
Microsoft випустила позапланове (out-of-band) оновлення .NET 10.0.7, яке виправляє цю проблему. Уразливими були версії бібліотеки з 10.0.0 до 10.0.6.
Однак навіть після встановлення патча залишається ризик: якщо зловмисник уже скористався вразливістю, він міг створити підроблені облікові дані або ключі доступу, які можуть залишитися в системі. У такому разі простого оновлення недостатньо — адміністратори повинні перевірити та видалити потенційно скомпрометовані ключі й токени автентифікації.
Подібні криптографічні помилки в базових бібліотеках можуть становити серйозну загрозу, оскільки вони використовуються великою кількістю веб-додатків і хмарних сервісів. Тому компанії, які використовують ASP.NET Core, мають терміново встановити оновлення та перевірити свої системи на можливі ознаки компрометації.
Зазначимо, що минулого тижня в антивірусі Microsoft Defender знайшли критичну вразливість нульового дня.
