Patch en panique : Microsoft s’efforce de contenir la débâcle ASP.NET Core sur macOS et Linux

Tard mardi soir, un silence est tombé sur la communauté des développeurs lorsque Microsoft a tiré la sonnette d’alarme : une vulnérabilité critique se cachait dans son framework ASP.NET Core, exposant silencieusement les serveurs macOS et Linux à une compromission totale. Pendant des semaines - voire des mois - des attaquants auraient pu passer outre les défenses, s’ouvrant la voie à un contrôle de niveau SYSTEM. Et le danger ne s’arrête pas à un simple correctif.

La faille, identifiée sous le nom CVE-2026-40372, réside dans un composant cryptographique central d’ASP.NET Core utilisé pour protéger les échanges de données sensibles entre clients et serveurs. Plus précisément, le package NuGet Microsoft.AspNetCore.DataProtection - largement déployé sur macOS et Linux - ne validait pas correctement les signatures cryptographiques sur les charges d’authentification. Conséquence : des attaquants non authentifiés pouvaient fabriquer des jetons malveillants, trompant les applications pour obtenir des privilèges SYSTEM - les clés du royaume.

Ce qui rend cette vulnérabilité particulièrement insidieuse, c’est sa persistance. Selon Microsoft, les attaquants ayant exploité la faille pendant la période vulnérable pouvaient amener le système à leur délivrer des identifiants légitimement signés - tels que des jetons de session, des clés API ou des liens de réinitialisation de mot de passe. Ces jetons restent valides même après la mise à jour des systèmes par les administrateurs, à moins que les clés cryptographiques sous-jacentes (« key ring ») ne soient renouvelées ou invalidées. Autrement dit, un système corrigé n’est pas nécessairement un système sûr.

Microsoft décrit ASP.NET Core comme un framework open-source « haute performance » pour le développement d’applications .NET sur Windows, macOS, Linux et Docker. Sa conception modulaire et son cycle de développement rapide en ont fait un favori des développeurs en quête d’agilité et de compatibilité multiplateforme. Mais cet incident met en lumière le revers de la médaille de la vélocité open-source : si les mises à jour peuvent arriver vite, les bugs dangereux aussi.

L’entreprise exhorte tous les utilisateurs à mettre immédiatement à jour le package concerné vers la version 10.0.7. Tout aussi crucial, les administrateurs doivent renouveler leurs clés DataProtection et invalider tout identifiant potentiellement compromis. Ne pas le faire pourrait laisser les systèmes vulnérables à des attaquants déjà infiltrés.

Alors que la poussière retombe, une leçon s’impose : appliquer rapidement les correctifs est vital, mais comprendre les implications profondes d’une brèche - surtout lorsqu’il s’agit de cryptographie - peut faire toute la différence entre un simple avertissement et une catastrophe. Dans le monde de la cybersécurité, le passé peut hanter même les machines les plus à jour.

WIKICROOK

• ASP.NET Core : ASP.NET Core est le framework open-source de Microsoft pour créer des applications web et des API sécurisées et performantes sur plusieurs systèmes d’exploitation.
• Package NuGet : Un package NuGet est un composant logiciel .NET réutilisable, géré par NuGet, qui aide les développeurs à ajouter facilement des fonctionnalités mais peut présenter des risques de cybersécurité s’il n’est pas vérifié.
• Signature cryptographique : Une signature cryptographique est un sceau numérique sécurisé qui prouve qu’un fichier ou un message est authentique et n’a pas été modifié depuis sa signature.
• Privilèges SYSTEM : Les privilèges SYSTEM sont les droits d’accès les plus élevés sur un système Windows, permettant un contrôle total sur les fichiers, les paramètres et les opérations.
• Rotation des clés : La rotation des clés est le renouvellement régulier des clés ou mots de passe numériques pour empêcher les accès non autorisés et limiter les dégâts en cas de brèche.