Microsoft vá khẩn lỗ hổng chiếm quyền hệ thống trên ASP.NET CORE

1. Diễn biến: Sai sót sau bản cập nhật định kỳ

Vấn đề bắt nguồn từ một lỗi hồi quy trong bản cập nhật .NET 10.0.6 phát hành vào kỳ Patch Tuesday tháng này. Microsoft đã phát hiện lỗi sau khi nhận được hàng loạt báo cáo từ người dùng về việc các ứng dụng không thể giải mã dữ liệu sau khi nâng cấp.

• Các phiên bản bị ảnh hưởng: Gói NuGet Microsoft.AspNetCore.DataProtection từ phiên bản 10.0.0 đến 10.0.6.
• Mã định danh: CVE-2026-40372.
• Tình trạng: Đã có bản vá khẩn cấp trong phiên bản 10.0.7.

2. Cơ chế kỹ thuật: Giả mạo Cookie và Chiếm quyền SYSTEM

Lỗ hổng nằm trong các API mật mã của ASP.NET Core Data Protection. Đây là thành phần chịu trách nhiệm bảo mật các dữ liệu nhạy cảm lưu trữ phía máy khách.

• Lỗi tính toán HMAC: Bộ mã hóa xác thực đã tính toán thẻ xác thực HMAC trên các byte dữ liệu sai của payload, dẫn đến việc hệ thống chấp nhận các dữ liệu giả mạo là hợp lệ.
• Khả năng khai thác: Kẻ tấn công không cần xác thực có thể giả mạo các gói tin để vượt qua khâu kiểm tra bảo mật. Từ đó, chúng có thể giải mã và can thiệp vào:
  • Auth cookies.
  • Antiforgery tokens.
  • TempData và trạng thái OIDC.
• Chiếm quyền điều khiển: Thông qua việc giả mạo danh nghĩa người dùng có đặc quyền, tin tặc có thể buộc ứng dụng cấp các mã thông báo hợp lệ (session refresh, API key) để chiếm quyền SYSTEM vĩnh viễn trên thiết bị.

3. Lộ trình thời gian và Bối cảnh liên quan

• Tháng 10/2025: Microsoft từng phải vá lỗi “buôn lậu yêu cầu HTTP” (CVE-2025-55315) trên máy chủ Kestrel với mức độ nghiêm trọng kỷ lục.
• Thứ Ba tuần trước (Patch Tuesday tháng 04/2026): Microsoft phát hành bản cập nhật .NET 10.0.6. Tuy nhiên, bản này vô tình chứa lỗi regression gây hỏng cơ chế xác thực HMAC.
• Sau khi cập nhật 10.0.6: Người dùng đồng loạt báo cáo lỗi giải mã ứng dụng. Microsoft vào cuộc điều tra và phát hiện lỗ hổng leo thang đặc quyền CVE-2026-40372.
• Thứ Hai (20/04/2026): Microsoft tung bản vá ngoài luồng (OOB) cho các hệ thống Windows Server bị ảnh hưởng bởi bản cập nhật tháng 4.
• Thứ Ba (21/04/2026): Microsoft chính thức công bố lỗ hổng và phát hành bản vá khẩn cấp .NET 10.0.7 (gói Microsoft.AspNetCore.DataProtection) để thay thế các phiên bản lỗi từ 10.0.0 đến 10.0.6.

4. Các hệ thống và nền tảng bị ảnh hưởng

Theo thông báo của quản lý chương trình Rahul Bhandari, phạm vi ảnh hưởng không chỉ dừng lại ở ứng dụng web đơn thuần mà còn mở rộng ra:

• Các hệ thống sử dụng máy chủ web Kestrel.
• Các nền tảng Windows Server vừa cài đặt bản cập nhật bảo mật tháng 4/2026.
• Các ứng dụng triển khai cơ chế xác thực đa nền tảng dựa trên ASP.NET Core.

Khuyến nghị khẩn cấp từ các chuyên gia bảo mật

Trước tính chất nguy hiểm của việc leo thang đặc quyền SYSTEM, Microsoft và các chuyên gia khuyến cáo thực hiện ngay các bước sau:

1. Phản ứng kỹ thuật tức thì: Cập nhật và Tái triển khai

• Nâng cấp gói thư viện: Ngay lập tức cập nhật gói Microsoft.AspNetCore.DataProtection lên phiên bản 10.0.7.
• Triển khai lại: Sau khi cập nhật, toàn bộ ứng dụng cần được biên dịch và triển khai lại để quy trình xác thực mới có hiệu lực, giúp tự động từ chối các gói tin giả mạo.

2. Biện pháp an ninh bổ sung: Xoay vòng khóa 

Do các tokens được cấp trong “cửa sổ lỗ hổng” có thể vẫn còn hiệu lực ngay cả sau khi vá lỗi, doanh nghiệp cần lưu ý:

• Xoay vòng Key Ring: Thực hiện xoay vòng khóa của DataProtection để vô hiệu hóa tất cả các cookie và mã thông báo cũ đã bị kẻ tấn công chiếm hữu.
• Kiểm tra nhật ký hệ thống: Rà soát các yêu cầu cấp lại mã thông báo hoặc thay đổi mật khẩu bất thường trong khoảng thời gian từ lúc cài bản 10.0.6 đến khi nâng cấp lên 10.0.7.
• Lưu ý đặc biệt: Mặc dù lỗ hổng không gây ngưng trệ dịch vụ (DoS), nhưng khả năng rò rỉ tệp tin và sửa đổi dữ liệu trái phép là rất cao. Cần thực hiện rà soát tính toàn vẹn của dữ liệu nhạy cảm ngay lập tức.

Nguồn Bleeping Computer