NET Core Framework gefährdet Unternehmenssysteme weltweit. Microsoft hat nun einen außerplanmäßigen Notfall-Patch veröffentlicht.**
Der Fehler mit der Kennung CVE-2026-40372 erreicht einen CVSS-Score von 9,1 – die zweithöchste Bedrohungsstufe. Angreifer können die Lücke aus der Ferne ausnutzen, ohne sich zuvor authentifizieren zu müssen. Entdeckt wurde das Problem, nachdem Nutzer nach den regulären .NET-10.0.6-Updates Anfang April über Entschlüsselungsfehler in ihren Webanwendungen klagten.
Die aktuelle Sicherheitslücke zeigt einmal mehr, wie schnell IT-Infrastrukturen durch technische Schwachstellen unter Druck geraten können. Dieses kostenlose E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. IT-Sicherheit stärken ohne teure Investitionen
Fehler in der Kryptografie öffnet Systeme
Die Sicherheitslücke steckt in den ASP.NET Core Data Protection APIs – jenen Schnittstellen, die sensible Daten wie Authentifizierungs-Cookies, Antiforgery-Tokens oder OpenID-Connect-Status schützen sollen. Branchenanalysten zufolge handelt es sich um einen Regression-Fehler in den NuGet-Paketen Microsoft.AspNetCore.DataProtection.
Die technische Ursache: Die betroffene Bibliothek berechnet den HMAC-Validierungs-Tag (Hash-based Message Authentication Code) falsch. Statt die gesamten Nutzdaten zu prüfen, wird der Hash über die falschen Bytes gebildet – in bestimmten Szenarien wird das Prüfergebnis sogar komplett verworfen. Die Folge: Angreifer können manipulierte Payloads einschleusen, die von der Anwendung als authentisch akzeptiert werden. Damit lassen sich legitime Nutzer imitieren – bis hin zu Administratoren.
Das Problem betrifft die Versionen 10.0.0 bis 10.0.6 des Data-Protection-Pakets. Microsoft bestätigte, dass der Regression-Fehler sowohl die Funktionsstörungen als auch das Sicherheitsrisiko verursachte.
Linux-Server besonders gefährdet
Obwohl die Schwachstelle als kritisch eingestuft wird, haben Sicherheitsforscher konkrete Bedingungen für eine Ausnutzung identifiziert. Drei Faktoren müssen zusammenkommen:
- Die Anwendung muss die betroffene Version 10.0.6 der Data-Protection-Bibliothek nutzen
- Die verwundbare NuGet-Kopie muss zur Laufzeit geladen werden
- Das Risiko steigt massiv auf Nicht-Windows-Systemen wie Linux oder macOS
Für Unternehmen, die .NET-Workloads in Container-Umgebungen oder auf Linux-Servern betreiben, ist die Bedrohung besonders hoch. Die Data-Protection-APIs werden dort häufig genutzt, um den Zustand verteilter Dienste zu verwalten. Ein Angreifer, der durch gefälschte Authentifizierungs-Cookies SYSTEM-Rechte erlangt, könnte sich lateral durchs Netzwerk bewegen oder auf geschützte Umgebungsvariablen zugreifen.
Patchen allein reicht nicht – Schlüsselrotation ist Pflicht
Microsoft drängt darauf, auf .NET 10.0.7 zu aktualisieren oder das betroffene NuGet-Paket auf Version 10.0.7 zu heben. Senior Program Manager Rahul Bhandari betont: „Kunden sollten dieses Update priorisieren, um die Validierungsroutine zu reparieren und sicherzustellen, dass manipulierte Payloads abgewiesen werden.“
Doch Sicherheitsexperten warnen: Der reine Patch schließt die Lücke nicht vollständig. Da Angreifer während der verwundbaren Phase gefälschte Tokens und Cookies erstellen konnten, die vom System als legitim angesehen werden, könnten diese Artefakte auch nach dem Update noch gültig sein.
Die empfohlene Mehrschritt-Strategie:
1. Update auf Version 10.0.7
2. Rotation des Data-Protection-Key-Rings – das macht alle während der verwundbaren Phase erstellten Tokens und Cookies ungültig
3. Nutzer zur erneuten Authentifizierung zwingen
Branchenkontext: Häufung kritischer Framework-Lücken
Die Offenlegung von CVE-2026-40372 fällt in eine Phase erhöhter Aufmerksamkeit für die Sicherheit von Web-Frameworks. Erst Ende 2025 schloss Microsoft mit CVE-2025-55315 eine HTTP-Request-Schmuggel-Lücke im Kestrel-Webserver – eine der schwerwiegendsten Sicherheitslücken, die je für das Framework gemeldet wurden.
Branchenberichte zeigen: Die Häufigkeit kritischer Schwachstellen in gängigen Entwicklungsbibliotheken belastet vor allem mittelständische Unternehmen und Familienbetriebe mit eigenen Entwicklerteams. Diese Organisationen betreiben oft spezialisierte Anwendungen im Wartungsmodus und reagieren langsamer auf außerplanmäßige Sicherheitsupdates.
Der Vorfall unterstreicht auch die wachsende Bedeutung von Software-Bill-of-Materials-Tooling (SBOM). Ohne automatische Inventarisierung aller Bibliotheken und Abhängigkeiten können Unternehmen kaum feststellen, welche ihrer Anwendungen von einem Regression-Fehler wie CVE-2026-40372 betroffen sind.
Neben technischen Fehlern in Frameworks nutzen Cyberkriminelle oft gezielte psychologische Taktiken, um Zugriff auf Unternehmensdaten zu erhalten. Dieser Gratis-Report enthüllt die aktuellen Methoden der Angreifer und zeigt, wie Sie Ihre Firma in 4 Schritten effektiv schützen. Anti-Phishing-Paket jetzt kostenlos herunterladen
Keine bestätigten Angriffe – aber Vorsicht bleibt geboten
Stand Ende April 2026 gibt es keine bestätigten Berichte über eine aktive Ausnutzung von CVE-2026-40372. Microsoft stuft die Wahrscheinlichkeit derzeit als gering ein – vor allem wegen der spezifischen Konfigurationsanforderungen und des schnellen Notfall-Patches.
Dennoch beobachtet der Konzern die Lage genau. Die Sicherheitsgemeinschaft erwartet künftig einen stärkeren Fokus auf automatisierte Validierung in der .NET-Entwicklungspipeline, um ähnliche Regressionen in der Kryptografie-Logik zu verhindern. Experten fordern einen grundlegenden Wandel im Patch-Management und Software-Inventar mittelständischer Unternehmen – angesichts von fast zwei kritischen CVEs pro Woche bei großen Softwareanbietern im Jahr 2026.
Für betroffene Unternehmen gilt: Sofort auf .NET 10.0.7 aktualisieren und die kryptografischen Schlüssel rotieren – nur so schließt sich das Zeitfenster für potenzielle Angreifer vollständig.
