تحديث طارئ من Microsoft لإصلاح ثغرة خطيرة في ASP.NET Core على أنظمة macOS وLinux

تهدد ثغرة ASP.NET Core خطيرة خوادم أنظمة التشغيل، مما يسمح للمهاجمين غير المصادق عليهم بالاستيلاء على صلاحيات النظام (SYSTEM) بالكامل على أجهزة macOS وLinux. تجبر هذه الثغرة، التي تحمل المعرف CVE-2026-40372، المطورين على تصحيح بيئاتهم البرمجية فوراً وتدوير مفاتيح التشفير لمنع اختراق الأجهزة بالكامل. وقد أصدرت شركة Microsoft تحديثاً طارئاً خارج الجدول الزمني المعتاد لمعالجة هذه المشكلة، والتي تنبع من خلل في التحقق من التوقيعات المشفرة.

تؤثر الثغرة على الإصدارات من 10.0.0 إلى 10.0.6 من حزمة Microsoft.AspNetCore.DataProtection. وقد أعلنت شركة Microsoft أنه يمكن استغلال هذا العيب الحرج للسماح للمهاجمين غير المصادق عليهم بتزوير بيانات المصادقة أثناء عملية الالتحقق من صحة HMAC. وتعد هذه العملية ضرورية للتحقق من سلامة وموثوقية البيانات المتبادلة بين العميل والخادم.

كما تصف شركة Microsoft إطار عمل ASP.NET Core بأنه بيئة تطوير ويب عالية الأداء لكتابة تطبيقات.NET عبر أنظمة تشغيل متعددة. تم اكتشاف الخطأ البرمجي كمشكلة تراجع أثناء تحقيق الشركة في تقارير تفيد بفشل فك التشفير في التطبيقات التي تستخدم تحديثاً حديثاً. وقد أوضحت الشركة أن أداة التشفير المصادق عليها قامت بحساب علامة التحقق من صحة HMAC الخاصة بها على وحدات البايت الخاطئة من البيانات، ثم تجاهلت التجزئة المحسوبة، مما أدى إلى تصعيد الصلاحيات.

يعد تصحيح البرامج مجرد خطوة أولى، حيث يبلغ الحد الأقصى لتصنيف خطورة ثغرة CVE-2026-40372 مستوى 9.1 من أصل 10. خلال الفترة التي قام فيها المستخدمون بتشغيل إصدار ضعيف من الحزمة، كان بإمكان المهاجمين تزوير البيانات للمصادقة كمستخدمين ذوي امتيازات. هذا يعني أن التطبيق ربما يكون قد أصدر رموزاً مميزة موقعة بشكل شرعي، مثل تحديثات الجلسة، أو مفاتيح واجهة برمجة التطبيقات (API)، أو روابط إعادة تعيين كلمة المرور، مباشرة إلى الجهات الفاعلة الخبيثة.

تظل هذه الرموز المزورة صالحة تماماً حتى بعد الترقية إلى الإصدار 10.0.7. وإذا نجح المهاجم في إنشاء بيانات الاعتماد هذه قبل تطبيق التصحيح، فإنه يحتفظ بالوصول الكامل إلى النظام المخترق ما لم يقم مسؤولو الخادم بتدوير مفاتيح التشفير المحددة يدوياً.

المستخدمون المتأثرون هم في المقام الأول أولئك الذين يقومون بتشغيل الإصدار 10.0.6 على أنظمة macOS أو Linux أو أي نظام تشغيل آخر غير Windows. لا تتأثر تطبيقات Windows بشكل عام لأن ميزة حماية البيانات تستخدم أدوات تشفير مختلفة افتراضياً لا تحتوي على هذا الخطأ المحدد.

نظراً لأن بيانات الاعتماد المزورة يمكن أن تنجو من تحديث البرنامج القياسي، يجب على مسؤولي النظام اتباع نهج متعدد الخطوات لمعالجة هذه الثغرة الأمنية بالكامل. توفر شركة Microsoft تعليمات مفصلة هنا، والتي تتضمن الإجراءات الحاسمة التالية:

• تحديث الحزمة: قم بتحديث حزمة Microsoft.AspNetCore.DataProtection فوراً إلى الإصدار 10.0.7 لإصلاح تراجع فك التشفير وإغلاق الثغرة الأمنية.
• تدوير حلقة المفاتيح: يجب عليك تدوير حلقة مفاتيح حماية البيانات (DataProtection key ring) إذا كانت تطبيقاتك تخدم نقاط نهاية مكشوفة على الإنترنت أثناء تشغيل إصدار ضعيف (من 10.0.0 إلى 10.0.6).
• تدقيق العناصر طويلة الأمد: قم بتدقيق العناصر طويلة الأمد على مستوى التطبيق يدوياً والتي ربما تم إنشاؤها خلال فترة الضعف. تنجو هذه العناصر من عملية تدوير المفاتيح ويجب تدويرها في طبقة التطبيق.

يسلط ظهور ثغرة CVE-2026-40372 الضوء على نقطة احتكاك متزايدة في تطوير البرمجيات الحديثة، حيث تعمل أطر العمل متعددة المنصات على توسيع سطح الهجوم بطرق غير متوقعة. في حين يتم الاحتفاء بإطار عمل ASP.NET Core لسماحه للمطورين بكتابة التعليمات البرمجية مرة واحدة ونشرها عبر أنظمة Windows وmacOS وLinux، تثبت هذه الثغرة كيف يمكن للتطبيقات الخاصة بنظام تشغيل معين أن تخلق نقاط عمياء خطيرة. إن حقيقة بقاء خوادم Windows محصنة بينما تعرضت بيئات macOS وLinux لعمليات استيلاء كاملة على النظام، تؤكد صعوبة الحفاظ على معايير أمان موحدة عبر البنى التقنية المتنوعة.

علاوة على ذلك، يعزز هذا الحادث تحولاً حاسماً في النظافة السيبرانية. لقد ولى عصر مجرد تطبيق تصحيح والمضي قدماً. نظراً لأن الجهات الفاعلة الخبيثة يمكنها الآن تزوير رموز مميزة موقعة بشكل شرعي تنجو من تحديثات البرامج، يجب أن تتطور الاستجابة للحوادث لتشمل التدقيق الإلزامي لبيانات الاعتماد وتدوير المفاتيح كممارسة قياسية. يجب على المطورين الذين يعتمدون على الحزم مفتوحة المصدر أن يفترضوا أن أي نافذة ضعف قد تم استغلالها بالفعل، والتعامل مع عمليات التنظيف ما بعد التصحيح بنفس الأهمية التي يحظى بها التصحيح نفسه.