【要約】Microsoft issues emergency update for macOS and Linux ASP.NET threat [Ars_Technica] | Summary by TechDistill
> Source: Ars_Technica
Execute Primary Source
// Problem
Microsoft.AspNetCore.DataProtectionのHMAC検証プロセスにおける不備により、認証されていない攻撃者が認証ペイロードを偽造できる。これにより、macOSやLinux環境において、攻撃者がSYSTEM権限を取得し、システムを完全に掌握されるリスクが生じている。
// Approach
Microsoftは、当該脆弱性とリグレッションを修正したバージョン10.0.7を緊急リリースした。根本的な解決には、パッケージの更新のみならず、DataProtectionキーリングのローテーション、および攻撃者が作成した可能性のある長寿命の認証トークン(セッション、APIキー等)の強制的な無効化が必要である。
// Result
脆弱性は10.0.7で修正されたが、パッチ適用後のセキュリティ担保は、キーリングの更新とアプリケーション層でのアーティファクト監査の完遂に依存する。Windows環境ではデフォルトの暗号化方式が異なるため、本件の影響は受けないことが確認されている。
Senior Engineer Insight
> 本件は単なるライブラリのアップデート作業に留まらない。キーリングのローテーションは、稼働中の全ユーザーのセッション切断や認証情報の無効化を意味し、大規模なトラフィックを捌くシステムにおいては、認証サーバーへの負荷急増やユーザー体験の低下を招く。また、Linux/Docker環境でのみ顕在化する特性から、Windowsベースの開発環境では検知が困難である点に注意が必要だ。インシデント対応としては、パッチ適用と同時に、アプリケーション層で管理している長寿命トークンの強制リセットを計画的に実行する、高度な運用設計が求められる。