Netcrook Logo
👤 SECPULSE
🗓️ 22 Apr 2026   🌍 North America

Scivolone nella firma: come un difetto nascosto in ASP.NET Core ha spalancato le porte alla presa di controllo del sistema

Una grave svista crittografica nella libreria ASP.NET Core di Microsoft ha messo a rischio innumerevoli web server Linux e macOS, esponendoli ad attacchi di escalation dei privilegi.

Immagina questo: una singola riga di codice, trascurata, che mina silenziosamente le mura di una fortezza di migliaia di applicazioni web. Questa settimana Microsoft si è affrettata a correggere una grave vulnerabilità in ASP.NET Core, una colonna portante delle moderne app web, dopo che un ricercatore anonimo ha scoperto un difetto in grado di consegnare agli attaccanti le chiavi del regno - privilegi SYSTEM - su server non Windows. Il bug, ora tracciato come CVE-2026-40372, è più di un semplice intoppo tecnico: è un promemoria netto di quanto possa essere fragile la fiducia digitale e di come un passo falso crittografico possa trasformarsi a cascata in una crisi di sicurezza conclamata.

L’anatomia di una violazione silenziosa

La vulnerabilità ha origine in Microsoft.AspNetCore.DataProtection, una libreria ampiamente utilizzata per proteggere dati sensibili nelle applicazioni web - pensa a cookie cifrati, token anti-forgery e chiavi API. Tra le versioni 10.0.0 e 10.0.6, una sottile regressione ha portato il sistema a calcolare in modo errato le firme crittografiche (HMAC), talvolta arrivando persino a scartare del tutto l’hash calcolato. Il risultato? Gli attaccanti potevano creare payload contraffatti che l’applicazione avrebbe considerato legittimi, aggirando proprio le difese pensate per tenerli fuori.

In modo cruciale, lo sfruttamento richiedeva l’allineamento di tre condizioni: la libreria DataProtection vulnerabile doveva essere caricata da NuGet a runtime, l’applicazione doveva essere in esecuzione su Linux, macOS o un altro OS non Windows, e l’app doveva usare DataProtection per l’autenticazione o altre attività sensibili. In tali configurazioni, gli hacker potevano aumentare i privilegi, potenzialmente esfiltrando file, modificando dati o persino ingannando il sistema affinché emettesse refresh di sessione validi e link di reset della password - firmati dall’app stessa.

L’impatto è inquietante: se gli attaccanti hanno usato token falsificati durante la finestra di vulnerabilità, quei token restano validi anche dopo che gli amministratori applicano la patch 10.0.7 - a meno che non ruotino i key ring di DataProtection. In sostanza, la bonifica non si esaurisce con un semplice aggiornamento; serve una purga più profonda per ripristinare pienamente la fiducia.

Microsoft attribuisce a un ricercatore anonimo il merito di aver individuato questo difetto prima che potesse essere sfruttato più ampiamente, ma l’episodio evidenzia una verità perenne nella cybersecurity: l’anello più debole non è sempre quello che ti aspetti. A volte, è proprio il codice progettato per tenerti al sicuro.

Conseguenze e lezioni

Questo incidente dovrebbe fungere da campanello d’allarme per le organizzazioni che eseguono ASP.NET Core su piattaforme non Windows. La gestione delle patch è solo metà della battaglia - la vera resilienza richiede rotazione regolare delle chiavi e un controllo rigoroso delle librerie di sicurezza. Mentre la polvere si posa, una cosa è chiara: l’integrità crittografica non è solo un dettaglio tecnico. È la linea sottile tra la normalità operativa e una violazione catastrofica.

WIKICROOK

  • Escalation dei privilegi: L’escalation dei privilegi si verifica quando un attaccante ottiene un accesso di livello superiore, passando da un normale account utente ai privilegi di amministratore su un sistema o una rete.
  • HMAC (Hash: HMAC verifica integrità e autenticità dei dati combinando una chiave segreta con una funzione di hash, garantendo una trasmissione sicura dei messaggi in reti e API.
  • NuGet: NuGet è una piattaforma online e un gestore di pacchetti che consente agli sviluppatori .NET di condividere, scaricare e gestire librerie di codice riutilizzabili per i propri progetti.
  • Cookie di autenticazione: Un cookie di autenticazione è un piccolo file di dati che verifica la tua identità su un sito web, mantenendoti connesso ma comportando rischi se viene rubato.
  • Rotazione del key ring: La rotazione del key ring significa sostituire regolarmente le chiavi crittografiche per ridurre il rischio nel caso in cui le vecchie chiavi vengano compromesse, contribuendo a mantenere una sicurezza solida e la conformità.
ASP.NET Core privilege escalation cryptographic vulnerability
SECPULSE SECPULSE
SOC Detection Lead
← Back to news