Microsoft ได้เผยแพร่ out-of-band (OOB) security updates ซึ่งเป็นแพตช์ฉุกเฉินเพื่อแก้ไขช่องโหว่การยกระดับสิทธิ์ (Privilege Escalation) ระดับร้ายแรงใน ASP.NET Core
CVE-2026-40372 (คะแนน CVSS 9.1/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่การยกระดับสิทธิ์ (Privilege Escalation) ซึ่งเกิดจากช่องโหว่ใน API การเข้ารหัสข้อมูลของ NuGet Microsoft.AspNetCore.DataProtection เวอร์ชัน 10.0.0-10.0.6 ทำให้ Hacker ที่ไม่ได้รับอนุญาตสามารถเข้าถึงสิทธิ์ SYSTEM บนอุปกรณ์ที่มีช่องโหว่ โดยการปลอมแปลง authentication cookies
หาก Hacker สามารถโจมตีช่องโหว่ และเข้าถึงสิทธิ์ SYSTEM ได้ ก็จะทำให้เข้าถึง signed tokens ที่ได้รับการรับรองได้ (session refresh, API key, password reset link, etc.) แม้จะทำการอัปเดตเป็นเวอร์ชัน 10.0.7 ยกเว้น DataProtection key ring ซึ่งถูกแก้ไขแล้ว
Microsoft ค้นพบช่องโหว่ดังกล่าว หลังจากได้รับรายงานจากผู้ใช้ว่าการ Decryption ไม่สำเร็จในแอปพลิเคชันของพวกเขาหลังจากติดตั้งการอัปเดต .NET 10.0.6 ในช่วง Patch Tuesday ของเดือนเมษายน 2026
ตามที่ Microsoft อธิบายเพิ่มเติมในคำแนะนำด้านความปลอดภัย ช่องโหว่นี้ยังสามารถทำให้ Hacker เปิดเผยไฟล์ และแก้ไขข้อมูลได้ แต่จะไม่ส่งผลกระทบต่อความพร้อมใช้งานของระบบ (availability)
Rahul Bhandari ผู้จัดการโครงการอาวุโส ได้เตือนลูกค้าทั้งหมดที่มีแอปพลิเคชันที่ใช้ ASP.NET Core Data Protection ให้ทำการอัปเดต Microsoft.AspNetCore.DataProtection package เป็นเวอร์ชัน 10.0.7 โดยเร็วที่สุด จากนั้นให้ปรับใช้ใหม่เพื่อแก้ไขขั้นตอนการตรวจสอบ และตรวจสอบให้แน่ใจว่าเพย์โหลดที่มีการปลอมแปลงใด ๆ จะถูกปฏิเสธโดยอัตโนมัติ
ในเดือนตุลาคม 2025 ทาง Microsoft ยังได้แก้ไขช่องโหว่ในการลักลอบส่ง HTTP request (CVE-2025-55315) ในเว็บเซิร์ฟเวอร์ Kestrel ซึ่งถูกระบุว่ามีระดับความรุนแรงสูงสุดเท่าที่เคยมีมาสำหรับช่องโหว่ด้านความปลอดภัยของ ASP.NET Core
โดยเมื่อโจมตีช่องโหว่สำเร็จจะทำให้ Hacker ที่ได้รับอนุญาตสามารถขโมยข้อมูล Credentials ของผู้ใช้รายอื่น ทำการ bypass front-end security controls หรือทำให้เซิร์ฟเวอร์ล่มได้
ก่อนหน้านี้ Microsoft ได้ออกชุดอัปเดตเพิ่มเติมเพื่อแก้ไขปัญหาที่ส่งผลกระทบต่อระบบ Windows Server หลังจากติดตั้งการอัปเดตความปลอดภัย Patch Tuesday ของเดือนเมษายน 2026
ที่มา : bleepingcomputer
You must be logged in to post a comment.