SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

27 abr 2026

Segu-Info » » Actualizaciones urgentes fuera de banda (OOB) par .NET y Windows Server

Actualizaciones urgentes fuera de banda (OOB) par .NET y Windows Server

27 abr 2026, 9:30:00 a.m.   Comenta primero!
   

Microsoft ha publicado actualizaciones de seguridad fuera de banda (OOB) para corregir una vulnerabilidad crítica de escalamiento de privilegios en ASP.NET Core.

La vulnerabilidad (identificada como CVE-2026-40372) se encontró en las API criptográficas de ASP.NET Core Data Protection y podría permitir a atacantes no autenticados obtener privilegios de SYSTEM en los dispositivos afectados mediante la falsificación de cookies de autenticación.

Microsoft descubrió la vulnerabilidad tras recibir informes de usuarios que indicaban fallos en el descifrado de sus aplicaciones después de instalar la actualización .NET 10.0.6 durante el Patch Tuesday de este mes.

"Una regresión en los paquetes NuGet Microsoft.AspNetCore.DataProtection 10.0.0-10.0.6 provoca que el cifrador autenticado administrado calcule su etiqueta de validación HMAC sobre bytes incorrectos de la carga útil y, en algunos casos, descarte el hash calculado", explica Microsoft en las notas de la versión .NET 10.0.7.

En estos casos, la validación defectuosa podría permitir a un atacante falsificar cargas útiles que superen las comprobaciones de autenticidad de DataProtection y descifrar cargas útiles previamente protegidas en cookies de autenticación, tokens antifalsificación, datos temporales, estado OIDC, etc.

Si un atacante utilizó cargas útiles falsificadas para autenticarse como usuario privilegiado durante el período de vulnerabilidad, podría haber inducido a la aplicación a emitir tokens firmados legítimamente (actualización de sesión, clave API, enlace de restablecimiento de contraseña, etc.) a su propio nombre. Esos tokens siguen siendo válidos tras actualizar a la versión 10.0.7, a menos que se rote el llavero de DataProtection.

Como explicó Microsoft en un aviso de seguridad publicado el martes, esta vulnerabilidad también permite a los atacantes divulgar archivos y modificar datos, pero no afecta a la disponibilidad del sistema.

El martes, Rahul Bhandari, director sénior de programas, advirtió a todos los clientes cuyas aplicaciones utilizan ASP.NET Core Data Protection que actualicen el paquete Microsoft.AspNetCore.DataProtection a la versión 10.0.7 lo antes posible y que, a continuación, realicen una nueva implementación para corregir la rutina de validación y garantizar que cualquier carga útil falsificada se rechace automáticamente.

Puede encontrar más información sobre las plataformas, los paquetes y la configuración de las aplicaciones afectadas en el anuncio original.

El lunes, Microsoft lanzó otro conjunto de actualizaciones extraordinarias para solucionar problemas que afectan a los sistemas Windows Server tras la instalación de las actualizaciones de seguridad de abril de 2026.

Fuente: BC



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!