Skip to content

Microsoft, macOS 및 Linux ASP.NET 위협에 대한 긴급 업데이트 발표

Posted in tech

Microsoft는 인증되지 않은 공격자가 웹 개발 프레임워크를 사용하여 Linux 또는 macOS 앱을 실행하는 장치에서 시스템 권한을 얻을 수 있는 심각도가 높은 취약점을 수정하기 위해 ASP.NET Core용 긴급 패치를 출시했습니다.

소프트웨어 제조업체는 화요일 저녁 CVE-2026-40372로 추적되는 취약점이 프레임워크의 일부인 패키지인 Microsoft.AspNetCore.DataProtection NuGet 버전 10.0.0~10.0.6에 영향을 미친다고 밝혔습니다. 치명적인 결함은 암호화 서명의 잘못된 검증에서 비롯됩니다. 이를 악용하면 인증되지 않은 공격자가 클라이언트와 서버 간에 교환되는 데이터의 무결성과 신뢰성을 확인하는 데 사용되는 HMAC 유효성 검사 프로세스 중에 인증 페이로드를 위조할 수 있습니다.

주의: 위조된 자격 증명은 패치 후에도 유지됩니다.

사용자가 취약한 버전의 패키지를 실행하는 동안 인증되지 않은 사람이 기본 시스템을 완전히 손상시킬 수 있는 민감한 SYSTEM 권한을 얻을 수 있는 공격에 노출되어 있었습니다. 취약점이 패치된 후에도 위협 행위자가 생성한 인증 자격 증명이 제거되지 않으면 장치가 여전히 손상될 수 있습니다.

마이크로소프트는 “공격자가 취약한 기간 동안 권한 있는 사용자로 인증하기 위해 위조된 페이로드를 사용한 경우 애플리케이션이 합법적으로 서명된 토큰(세션 새로 고침, API 키, 비밀번호 재설정 링크 등)을 자신에게 발행하도록 유도했을 수 있다”고 말했습니다. “이러한 토큰은 DataProtection 키 링이 순환되지 않는 한 10.0.7로 업그레이드한 후에도 유효한 상태로 유지됩니다.”

Microsoft는 ASP.NET Core를 Windows, macOS, Linux 및 Docker에서 실행되는 .Net 앱을 작성하기 위한 “고성능” 웹 개발 프레임워크라고 설명합니다. 오픈 소스 패키지는 “런타임 구성 요소, API, 컴파일러 및 언어가 빠르게 발전할 수 있도록 하면서 동시에 앱 실행을 유지할 수 있는 안정적이고 지원되는 플랫폼을 제공하도록 설계되었습니다.”

관련 기사

Be First to Comment

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다