Microsoft a récemment émis un patch d’urgence pour corriger une vulnérabilité critique dans ASP.NET Core. Cette faille permet à des attaquants non authentifiés d’acquérir des privilèges SYSTEM sur des appareils exécutant des applications Linux ou macOS.
Microsoft a annoncé, mardi soir, la publication d’une mise à jour d’urgence pour son framework de développement web ASP.NET Core, suite à la découverte d’une vulnérabilité de haute gravité. Cette vulnérabilité, identifiée sous le numéro CVE-2026-40372, affecte les versions 10.0.0 à 10.0.6 du package Microsoft.AspNetCore.DataProtection NuGet, qui fait partie intégrante de ce framework. Le problème critique découle d’une vérification défaillante des signatures cryptographiques, ce qui permettait à des attaquants non authentifiés de falsifier des charges d’authentification durant le processus de validation HMAC. Ce processus est essentiel pour assurer l’intégrité et l’authenticité des données échangées entre un client et un serveur.
Les conséquences de cette vulnérabilité sont préoccupantes. Tant que les utilisateurs fonctionnaient avec une version vulnérable de ce package, ils étaient exposés à des attaques permettant à des intrus d’acquérir des privilèges SYSTEM sensibles, compromettant ainsi entièrement la machine sous-jacente. Pire encore, même après la mise à jour, les appareils pourraient rester compromis si les identifiants d’authentification créés par un acteur malveillant ne sont pas purgés. Cela souligne l’importance de mettre à jour immédiatement les systèmes et de s’assurer que toutes les anciennes authentifications sont révoquées.
Microsoft a donc alerté les utilisateurs sur la nécessité de procéder à cette mise à jour urgente pour protéger leurs appareils contre d’éventuels abus. Les développeurs et administrateurs de systèmes sont donc fortement encouragés à vérifier leurs versions et à appliquer le correctif sans délai, en gardant à l’esprit que la sécurité est un processus continu, et que la vigilance reste de mise dans le paysage technologique actuel. La situation rappelle également l’importance de la vérification régulière des mises à jour de sécurité et de la gestion des identités dans les environnements de développement web.