انتشار پچ اضطراری مایکروسافت برای رفع حفره امنیتی بحرانی در ASP.NET Core

مایکروسافت با انتشار به‌روزرسانی‌های خارج از نوبه (OOB)، یک آسیب‌پذیری بحرانی در زیرساخت .NET را که منجر به ارتقای سطح دسترسی مهاجمان می‌شد، مسدود کرد.

خبرنگار:

بهراد یوسفی

مایکروسافت به صورت اضطراری اقدام به انتشار اصلاحیه‌های امنیتی برای رفع یک نقص بسیار خطرناک در بخش ASP.NET Core کرده است. این آسیب‌پذیری که با شناسه CVE-2026-40372 رهگیری می‌شود، ریشه در رابط‌های برنامه‌نویسی رمزنگاری (Data Protection APIs) دارد و به مهاجمان احراز هویت نشده اجازه می‌دهد با جعل کوکی‌های احراز هویت، به سطح دسترسی SYSTEM (بالاترین سطح دسترسی در ویندوز) دست یابند.

ریشه بروز خطا؛ یک بازگشت به عقب در به‌روزرسانی پیشین: طبق اعلام رسمی مایکروسافت، این نقص پس از انتشار به‌روزرسانی نسخه ۱۰.۰.۶ در پچ سه‌شنبه ماه جاری گزارش شد. کاربران متوجه شدند که پس از نصب این آپدیت، عملیات رمزگشایی در اپلیکیشن‌های آن‌ها با خطا مواجه می‌شود. بررسی‌های فنی نشان داد که در بسته‌های NuGet نسخه ۱۰.۰.۰ تا ۱۰.۰.۶، یک خطای بازگشتی (Regression) باعث شده است که الگوریتم اعتبارسنجی HMAC به جای بایت‌های اصلی، روی بایت‌های اشتباهی از داده‌ها اجرا شود و در برخی موارد، هش محاسبه شده را نادیده بگیرد.

ابعاد خطر؛ از جعل کوکی تا سرقت داده‌های حساس: این اختلال در سیستم اعتبارسنجی به مهاجمان اجازه می‌دهد تا داده‌هایی (Payload) تولید کنند که با موفقیت از سد چک‌های امنیتی ASP.NET عبور کند.

پیامدهای این نفوذ عبارتند از:

1. رمزگشایی داده‌های محافظت‌شده در کوکی‌های احراز هویت و توکن‌های ضد جعل (Antiforgery)

2. جعل هویت به عنوان یک کاربر دارای سطح دسترسی بالا (Privileged User)

3. ایجاد توکن‌های معتبر مانند API Key یا لینک بازنشانی رمز عبور برای خود مهاجم که حتی پس از ارتقای سیستم نیز معتبر باقی می‌مانند.

مایکروسافت هشدار داده است که اگرچه این حفره بر پایداری و در دسترس بودن سیستم (Availability) تأثیری ندارد، اما می‌تواند منجر به افشای گسترده فایل‌ها و تغییر غیرمجاز داده‌ها شود.

اقدامات فوری برای مدیران سیستم و توسعه‌دهندگان: راهول بندهاری، مدیر برنامه‌های ارشد مایکروسافت، از تمامی مشتریانی که از پکیج Microsoft.AspNetCore.DataProtection استفاده می‌کنند درخواست کرد که هرچه سریع‌تر به نسخه ۱۰.۰.۷ به‌روزرسانی کنند.

نکته حیاتی برای تیم‌های فنی این است که پس از آپدیت پکیج، اپلیکیشن باید مجدداً مستقر (Redeploy) شود تا روتین‌های اعتبارسنجی اصلاح گردند. همچنین پیشنهاد می‌شود برای اطمینان کامل از بی‌اثر شدن توکن‌های جعلی صادر شده توسط مهاجمان در بازه زمانی آسیب‌پذیر، حلقه کلیدهای حفاظت از داده (DataProtection Key Ring) بازنشانی یا چرخانده (Rotate) شود.

تاریخچه سیاه حملات درKestrel : این اولین بار نیست که ASP.NET با چالش‌های جدی روبرو می‌شود. در اکتبر سال گذشته نیز مایکروسافت یک باگ خطرناک در سرور وب Kestrel شناسه CVE-2025-55315 را پچ کرده بود که بالاترین امتیاز شدت آسیب‌پذیری را در تاریخ این پلتفرم دریافت کرده بود.

برگردان و تنظیم: تحریریه ۲۴ نیوز (بهراد یوسفی)