Microsoft telah merilis pembaruan keamanan out-of-band (OOB) untuk menambal kerentanan eskalasi hak istimewa yang kritis pada ASP.NET Core.
Celah keamanan yang dilacak sebagai CVE-2026-40372 ini ditemukan dalam antarmuka pemrograman aplikasi (API) kriptografi ASP.NET Core Data Protection. Kerentanan ini sangat berbahaya karena dapat memungkinkan penyerang yang tidak terautentikasi untuk mendapatkan hak istimewa SYSTEM pada perangkat yang terdampak hanya dengan memalsukan cookie autentikasi.
Microsoft menemukan celah ini menyusul adanya laporan dari pengguna yang mengalami kegagalan dekripsi pada aplikasi mereka pasca-menginstal pembaruan rilis .NET 10.0.6 selama siklus Patch Tuesday bulan ini.
Penyebab dan Dampak Kerentanan
“Sebuah regresi pada paket NuGet Microsoft.AspNetCore.DataProtection versi 10.0.0-10.0.6 menyebabkan enkriptor terautentikasi yang dikelola menghitung tag validasi HMAC-nya pada byte muatan yang salah, dan kemudian membuang hash yang dihitung tersebut dalam beberapa kasus,” ungkap Microsoft dalam catatan rilis .NET 10.0.7.
Dalam skenario ini, validasi yang rusak tersebut dapat memungkinkan penyerang untuk memalsukan muatan (payloads) yang mampu melewati pemeriksaan autentisitas DataProtection. Akibatnya, peretas dapat mendekripsi muatan yang sebelumnya dilindungi dalam cookie autentikasi, token antiforgery, TempData, status OIDC, dan lain sebagainya.
Lebih lanjut, jika penyerang menggunakan muatan palsu untuk mengautentikasi diri sebagai pengguna dengan hak istimewa selama periode rentan tersebut, mereka mungkin telah memanipulasi aplikasi untuk menerbitkan token yang ditandatangani secara sah (seperti penyegaran sesi, kunci API, atau tautan pengaturan ulang kata sandi) untuk diri mereka sendiri.
Catatan Penting: Token yang disusupi ini akan tetap berlaku bahkan setelah sistem diperbarui ke versi 10.0.7, kecuali jika cincin kunci (key ring) DataProtection dirotasi oleh administrator.
Seperti yang dijelaskan lebih lanjut oleh Microsoft dalam penasihat keamanan hari Selasa, kerentanan ini juga memungkinkan penyerang untuk mengungkap fail sensitif dan memodifikasi data, meskipun mereka tidak dapat memengaruhi ketersediaan (availability) sistem itu sendiri.
Instruksi Pembaruan Segera
Pada hari Selasa, Manajer Program Senior Rahul Bhandari memperingatkan semua pelanggan yang aplikasinya menggunakan ASP.NET Core Data Protection untuk segera memperbarui paket Microsoft.AspNetCore.DataProtection ke versi 10.0.7 sesegera mungkin.
Setelah pembaruan diterapkan, pengguna harus melakukan penyebaran ulang (redeploy) untuk memperbaiki rutinitas validasi dan memastikan bahwa setiap muatan yang dipalsukan akan ditolak secara otomatis oleh sistem.
Sebagai kilas balik, pada bulan Oktober lalu Microsoft juga sempat menambal bug penyelundupan permintaan HTTP (CVE-2025-55315) di server web Kestrel yang ditandai dengan peringkat keparahan “tertinggi yang pernah ada” untuk celah keamanan ASP.NET Core. Di sisi lain, pada hari Senin lalu Microsoft juga telah merilis serangkaian pembaruan out-of-band lainnya untuk mengatasi masalah stabilitas yang memengaruhi sistem Windows Server setelah menginstal pembaruan keamanan April 2026.