A Microsoft disponibilizou atualizações de segurança fora do ciclo habitual para resolver uma falha crítica na sua plataforma ASP.NET Core. Esta vulnerabilidade, devidamente rastreada e explicada no boletim de segurança oficial, permite que atacantes sem qualquer autenticação consigam obter privilégios máximos nos equipamentos afetados, manipulando a criação de cookies de autenticação.
O problema foi descoberto após vários utilizadores reportarem que os processos de desencriptação estavam a falhar nas suas aplicações, um cenário que começou a ocorrer após a instalação da versão 10.0.6 do .NET, lançada durante as habituais atualizações mensais da empresa.
Como a falha afeta as tuas aplicações
De acordo com as informações detalhadas nas notas de lançamento do .NET 10.0.7, ocorreu uma regressão nos pacotes da plataforma que faz com que o encriptador de autenticação faça cálculos sobre os dados errados e, em alguns casos, descarte completamente essa validação.
Esta quebra na verificação permite que um atacante crie dados falsificados que conseguem passar pelas verificações de segurança. Se esse ataque for bem-sucedido durante o período vulnerável, os criminosos podem enganar a aplicação para que esta emita tokens legítimos para si mesmos, como chaves de acesso ou links de recuperação de palavra-passe. Esses acessos mantêm-se válidos mesmo após a atualização do sistema, a menos que as chaves de proteção sejam rodadas pelos administradores.
Embora esta vulnerabilidade permita a exposição e alteração de ficheiros, a empresa garante que a falha não tem impacto na disponibilidade geral do sistema operativo ou da infraestrutura que o suporta.
A urgência na atualização do software
Rahul Bhandari, gestor de programas da tecnológica, alertou todos os responsáveis por aplicações que usem o componente afetado a instalarem a versão 10.0.7 com a máxima urgência. Após a instalação, é necessário reimplementar o código para garantir que a rotina de validação fica corrigida e que quaisquer tentativas de acesso falsificado sejam imediatamente rejeitadas.
Este não é o primeiro alerta de segurança elevado na plataforma recentemente. Em outubro do ano anterior, foi corrigido um erro no servidor web Kestrel que também recebeu uma classificação de risco extrema, permitindo o desvio de credenciais ou o bloqueio total do servidor em caso de ataque.
As ações corretivas estendem-se a outras frentes, já que na passada segunda-feira foram lançadas atualizações extraordinárias para resolver falhas de arranque em máquinas com Windows Server, problemas que surgiram logo após a instalação das correções de segurança no mês de abril de 2026.
Nenhum comentário
Seja o primeiro!