Microsoft、ASP.NETの重大脆弱性で緊急パッチ公開
原題: Microsoft issues emergency update for macOS and Linux ASP.NET threat
なぜ重要か
企業の基盤システムを支えるWebフレームワークの重大脆弱性であり、迅速な対応が企業セキュリティの要となる
Microsoftは4月22日、ASP.NET Coreの高深刻度脆弱性CVE-2026-40372に対する緊急パッチを公開した。この脆弱性により、認証されていない攻撃者がmacOSやLinuxデバイスでSYSTEM権限を取得可能となる。脆弱性はMicrosoft.AspNetCore.DataProtectionパッケージのバージョン10.0.0から10.0.6に存在し、暗号署名の検証不備が原因とされる。
Microsoftは4月22日夜、ASP.NET Coreの重大な脆弱性を修正する緊急パッチを公開した。CVE-2026-40372と追跡されるこの脆弱性は、Microsoft.AspNetCore.DataProtection NuGetパッケージのバージョン10.0.0から10.0.6に存在し、LinuxやmacOSアプリを実行するWebフレームワークに影響する。
脆弱性の原因は暗号署名の検証不備にある。攻撃者は認証されていない状態でHMAC検証プロセス中に認証ペイロードを偽造し、クライアントとサーバー間で交換されるデータの完全性と真正性検証を回避できる。これにより、攻撃者はSYSTEM権限を取得し、基盤システムを完全に侵害する可能性がある。
特に危険なのは、パッチ適用後も脅威が残存する点だ。Microsoftによると、脆弱な期間中に攻撃者が偽造ペイロードで特権ユーザーとして認証した場合、アプリケーションが正当な署名付きトークン(セッション更新、APIキー、パスワードリセットリンクなど)を発行する可能性がある。これらのトークンはDataProtectionキーリングを回転させない限り、バージョン10.0.7へのアップグレード後も有効のまま残る。
脆弱性の最大深刻度評価は10点満点中9.1点。主な影響対象は、macOS、Linux、その他の非WindowsOSでバージョン10.0.6を実際に実行時読み込みしたユーザーとなっている。