El día de hoy, Microsoft ha emitido actualizaciones de seguridad de emergencia fuera de ciclo (Out-of-Band u OOB) para abordar una vulnerabilidad crítica de escalada de privilegios en ASP.NET Core. Identificada como CVE-2026-40372, esta falla en las APIs criptográficas de Protección de Datos (Data Protection) permite a un atacante no autenticado falsificar cookies de autenticación y obtener privilegios máximos (SYSTEM) en los servidores afectados. El fallo fue descubierto recientemente tras los reportes de usuarios que experimentaron problemas de descifrado en sus aplicaciones tras instalar las actualizaciones del Patch Tuesday de este mes de abril.
Anatomía del Ataque
La vulnerabilidad no es un error de diseño tradicional, sino una regresión de código introducida en versiones recientes del entorno de desarrollo:
- Regresión Criptográfica: El fallo reside en los paquetes NuGet Microsoft.AspNetCore.DataProtection (versiones 10.0.0 a 10.0.6). Un error de regresión provoca que el encriptador calcule su etiqueta de validación HMAC sobre los bytes incorrectos de la carga útil (payload), descartando en ciertos casos el hash calculado.
- Falsificación de Identidad (Forging): Debido a esta validación defectuosa, un atacante remoto puede crear cargas útiles manipuladas que pasan exitosamente los controles de autenticidad del sistema de Protección de Datos de ASP.NET.
- Descifrado Arbitrario: El atacante logra descifrar cargas previamente protegidas, lo que incluye cookies de autenticación, tokens de seguridad antifalsificación (antiforgery tokens), datos de sesión (TempData) o estados OIDC.
- Generación de Tokens Legítimos: Si el atacante utiliza estas cargas falsificadas para autenticarse como un usuario con privilegios administrativos durante la ventana de vulnerabilidad, puede obligar a la aplicación a emitirle tokens legítimamente firmados (como claves de API, enlaces de restablecimiento de contraseñas o tokens de actualización de sesión).
Impacto
Las consecuencias de esta vulnerabilidad son severas para cualquier aplicación web o API que dependa de la autenticación de ASP.NET Core:
- Compromiso Total del Servidor: La obtención de privilegios SYSTEM permite al atacante el control total sobre la máquina anfitriona, facilitando la divulgación y modificación de archivos y bases de datos conectadas.
- Persistencia Criptográfica (El mayor riesgo): Debido a la mecánica del ataque, los tokens robados o generados maliciosamente permanecen siendo criptográficamente válidos incluso después de que el servidor haya sido parcheado, otorgando a los cibercriminales persistencia oculta y a largo plazo.
Recomendaciones y Mitigación
Los equipos de desarrollo y operaciones (DevSecOps) deben ejecutar una intervención de emergencia en los entornos de producción:
- Actualización de Paquetes (Inmediata): Actualizar el paquete Microsoft.AspNetCore.DataProtection en todos los proyectos a la versión 10.0.7 lo antes posible.
- Re-despliegue del Código: Volver a compilar y redesplegar las aplicaciones para aplicar la rutina de validación corregida. Esto garantizará que, a partir de ese momento, cualquier carga útil falsificada sea rechazada automáticamente.
- Rotación de Claves (Mandatoria): Aplicar el parche no revoca el acceso a los atacantes que ya hayan explotado el fallo. Para invalidar los tokens maliciosos emitidos durante la ventana de vulnerabilidad, es estrictamente obligatorio rotar el anillo de claves (key ring) de Data Protection del servidor.
