Microsoft’tan Kritik Güvenlik Güncellemesi
Microsoft, ASP.NET Core’daki kritik bir yetki artırma açığını patchlemek için ani (out-of-band) güvenlik güncellemeleri yayınladı. Bu açık, yetkisiz saldırganların etkilenen cihazlarda SYSTEM ayrıcalıkları elde etmesine yol açabilecek bir durum oluşturuyor.
Saldırı Nasıl Çalışıyor?
Güvenlik açığı, CVE-2026-40372 koduyla takip ediliyor ve ASP.NET Core Data Protection kriptografik API’lerinde bulunuyor. Microsoft, bu açığın kullanıcı raporları sonucunda, .NET 10.0.6 güncellemesi sonrasında uygulamalarda şifre çözümleme hatalarının yaşandığının tespit edilmesi üzerine keşfedildiğini belirtti.
Bir regresyon, Microsoft.AspNetCore.DataProtection 10.0.0-10.0.6 NuGet paketlerinde, yönetilen kimlik doğrulama şifreleyicisinin HMAC doğrulama etiketini yükün yanlış byte’ları üzerinde hesaplamasına neden oldu ve bazı durumlarda hesaplanan hash’i iptal etti. Bu durum, bir saldırganın Data Protection’ın özgünlük kontrollerinden geçebilen yükler oluşturmasına ve daha önce korunan yükleri autentikasyon çerezlerinde, antiforgery tokenlerinde, TempData’da, OIDC durumunda vs. şifre çözmesine olanak tanıyordu.
Açığın aktif olduğu süre zarfında bir saldırgan, sahte yükleri kullanarak ayrıcalıklı bir kullanıcı olarak kimlik doğruladıysa, uygulamanın kendisine meşru imzalı tokenler (oturum yenileme, API anahtarı, şifre sıfırlama bağlantısı, vb.) vermesine neden olabilir. Bu tokenler, Data Protection anahtar halkası dönülmedikçe 10.0.7’ye yükseltildikten sonra geçerli kalmaya devam eder.
Etkilenen Sistemler
CVE-2026-40372 açığı, aşağıdaki sistemleri etkilemektedir:
- ASP.NET Core Araçları
- Microsoft.AspNetCore.DataProtection paketleri (versiyon 10.0.0 – 10.0.6)
Microsoft’un diğer bir güvenlik tavsiyesi olan CVE-2025-55315, Kestrel web sunucusundaki HTTP istek sarsintı açığını içeriyor. Bu açığın başarılı bir şekilde istismar edilmesi, kimlik doğrulaması yapılmış saldırganların diğer kullanıcıların kimlik bilgilerini ele geçirmelerine, ön yüz güvenlik kontrollerini aşmalarına veya sunucuyu çökertmelerine yol açabiliyor.
Çözüm ve Korunma
Microsoft, ASP.NET Core Data Protection kullanan tüm müşterilere Microsoft.AspNetCore.DataProtection paketini derhal 10.0.7 versiyonuna güncellemelerini ve güncellemeden sonra yeniden dağıtım yapmalarını tavsiye etti. Böylece, doğrulama rutinindeki hatanın düzeltilmesi sağlanacak ve sahte yüklerin otomatik olarak reddedilmesi temin edilecektir.
Ayrıca, bu güncellemenin ardından mevcut anahtar halkalarının döndürülmesi gerektiğini unutmayın.
Aksiyon
Eğer uygulamalarınız ASP.NET Core kullanıyorsa, aşağıdaki adımları takip etmenizde fayda var:
- Microsoft.AspNetCore.DataProtection paketini derhal 10.0.7 versiyonuna güncelleyin.
- Güncellemeyi gerçekleştirdikten sonra uygulamaları yeniden dağıtın.
- Açık anahtar halkalarını döndürerek güvenliği artırın.
Daha fazla bilgi ve güncellemeler için Microsoft’un güvenlik danışmanlıklarına ve güncelleme kılavuzlarına erişim sağlamayı unutmayın.
