Microsoft ASP.NET Core Zero-Day CVE-2026-40372: CVSS 9.1, Patch-Welle seit 22. April
7 Min. Lesezeit · Stand: 23.04.2026
Microsoft hat am 22. April 2026 ein Out-of-Band-Update veröffentlicht und mit CVE-2026-40372 einen 9.1-CVSS-Bug in ASP.NET Core bestätigt. Die Lücke erlaubt einem nicht authentifizierten Angreifer, Privilegien bis SYSTEM-Niveau zu eskalieren, indem er Authentifizierungs-Cookies fälscht. Der Patch in DataProtection 10.0.7 ist verfügbar. Das eigentliche Risiko liegt aber nicht in der Lücke selbst, sondern in der Verbreitung: Tausende Unternehmensanwendungen laufen auf Selbstbau-Servern, die kein Auto-Update haben. Security-Teams brauchen jetzt einen sauberen 72-Stunden-Plan.
Das Wichtigste in Kürze
- Microsoft hat am 22. April 2026 CVE-2026-40372 in ASP.NET Core DataProtection 10.0.0 bis 10.0.6 öffentlich gemacht und den Fix in 10.0.7 ausgeliefert.
- CVSS 9.1, Privilegien-Eskalation bis SYSTEM, kein Authentifizierungsbedarf, ausnutzbar über das Netz.
- Out-of-Band-Update signalisiert die Dringlichkeit. Microsoft veröffentlicht Updates dieser Klasse selten außerhalb des regulären Patch-Tuesday-Zyklus.
- Tausende ASP.NET-Core-Anwendungen laufen auf Selbstbau-Servern, in Container-Images oder in Custom-CI-Pipelines ohne Auto-Update.
- Security-Teams brauchen einen 72-Stunden-Inventar-Sweep, gefolgt von priorisiertem Patch-Roll-out und Cookie-Rotation in besonders exponierten Anwendungen.
Was die Lücke konkret tut
Was ist CVE-2026-40372? CVE-2026-40372 ist eine Privilegien-Eskalations-Lücke in der ASP.NET Core DataProtection-Bibliothek, veröffentlicht am 22. April 2026 mit einem CVSS-Score von 9.1. Eine Regression in den Versionen 10.0.0 bis 10.0.6 schwächt die kryptographische Signatur-Verifikation. Ein Angreifer kann mit einem all-zero HMAC die Validierung umgehen und damit Authentifizierungs-Cookies und Antiforgery-Tokens fälschen. Anschließend lassen sich SYSTEM-Privilegien auf dem ASP.NET-Core-Host erreichen. Microsoft hat den Fix in 10.0.7 ausgeliefert.
Die Mechanik ist gut dokumentiert. ASP.NET Core nutzt DataProtection für die Verschlüsselung und Signatur von Cookies. Wenn die Signatur-Validierung einen all-zero HMAC akzeptiert, lassen sich beliebige Cookies fälschen. Das öffnet die Tür zu einer Authentifizierungs-Umgehung. Anschließend kann ein Angreifer die Session eines Administrators übernehmen und über die ASP.NET-Core-Pipeline Code mit SYSTEM-Privilegien ausführen. Die Eskalationskette ist kurz, der Schaden bei produktiven Anwendungen erheblich.
Das Problem liegt weniger in der Lücke selbst als in der Verbreitung. ASP.NET Core läuft in zehntausenden Unternehmens-Anwendungen quer durch Branchen. Viele dieser Anwendungen wurden in den letzten 24 Monaten auf .NET 10 migriert, ohne dass die DataProtection-Konfiguration überprüft wurde. Container-Images mit .NET-10-Runtime werden in CI-Pipelines gebaut und auf Kubernetes-Cluster deployed, ohne automatisierten Patch-Pfad. Wer keinen aktiven Tracking-Mechanismus für Microsoft-Out-of-Band-Updates hat, übersieht die Lücke leicht.
Welche Anwendungs-Klassen besonders kritisch sind
Drei Klassen von Anwendungen verdienen besondere Aufmerksamkeit. Die erste ist die klassische Web-Backend-Anwendung auf .NET 10. Wer eine kundenseitige Webanwendung in einem regulierten Sektor betreibt, etwa Online-Banking, Kunden-Self-Service-Portale oder Versicherungs-Antragstrecken, hat eine direkt exponierte Angriffsfläche. Hier sollte der Patch innerhalb von 48 Stunden in Produktion sein, mit dokumentiertem Audit-Trail.
Die zweite Klasse sind interne API-Gateways und Mid-Tier-Services. Diese Anwendungen sind nicht direkt aus dem Internet erreichbar, aber sobald ein Angreifer einen Brückenkopf im internen Netz hat, eskaliert die Lücke schnell. Wer keine strikte Netzwerk-Segmentierung fährt, sollte die Patches gleich behandeln wie bei Internet-exponierten Anwendungen. Die Compliance-Sicht zu DORA und NIS2 beleuchtet, warum interne Anwendungen in regulierten Branchen ähnlich behandelt werden müssen.
Die dritte Klasse sind ältere ASP.NET-Core-Anwendungen, die in den letzten 24 Monaten auf .NET 10 migriert wurden, ohne dass die DataProtection-Konfiguration überprüft wurde. Diese Anwendungen sind oft in Wartungs-Status und werden seltener aktualisiert. Genau deshalb sind sie das attraktive Ziel. Eine Inventur auf Migration-Restbestände sollte parallel zum Patch-Roll-out laufen.
Was Security-Operations sofort tun
- SBOM-Suche nach Microsoft.AspNetCore.DataProtection 10.0.0 bis 10.0.6
- Container-Image-Scan auf .NET 10 Runtime-Versionen
- Patch-Roll-out priorisiert nach Internet-Exposition
- Cookie-Rotation in Anwendungen mit längerer Exposition
Was nicht funktioniert
- Reines Vertrauen auf „wir sind nicht erreichbar“
- Patch-Roll-out ohne Cookie-Rotation in exponierten Apps
- Container-Images ohne Re-Build und Re-Deploy
- Verlassen auf Microsoft-Patch-Tuesday-Routinen, weil Out-of-Band-Update separat läuft
Ein 72-Stunden-Reaktionsplan für Security-Operations
Drei Tage reichen für eine saubere Reaktion, wenn Engineering und Security Hand in Hand arbeiten. Die folgende Schritt-Logik hat sich in mehreren DACH-Banken und Versicherern bewährt.
Was die Lücke über Microsoft-Patch-Routinen 2026 zeigt
Microsoft hat in den letzten zwölf Monaten häufiger Out-of-Band-Updates veröffentlicht als noch 2024. Das verändert die operative Erwartung an Security-Operations. Wer nur den monatlichen Patch-Tuesday-Zyklus tracked, verpasst die kritischen Out-of-Band-Updates regelmäßig. Microsoft Security Response Center Bulletins gehören 2026 in einen wöchentlichen Routine-Slot, mit Eskalationspfad bei kritischen Veröffentlichungen.
Eine zweite Beobachtung verdient Aufmerksamkeit. ASP.NET Core ist eine Plattform mit sehr breiter Verbreitung im DACH-Markt, vor allem in der Finanz-, Versicherungs- und Versorger-Branche. Die Lücke trifft nicht eine Nischen-Komponente, sondern eine zentrale Schicht. Wer als Security-Lead die Plattform-Reichweite seines Hauses nicht kennt, hat in Wellen wie diesen einen Blindspot. Eine grundsätzliche Plattform-Inventur, die einmal pro Jahr aktualisiert wird, lohnt sich.
Drittens: SBOM-Disziplin ist 2026 die wichtigste operative Investition. Wer eine vollständige, gepflegte Software-Stückliste hat, reagiert in Stunden auf solche Vorfälle. Wer keine SBOM hat, verbringt die ersten 12 Stunden mit dem Finden statt mit dem Patchen. Anbieter wie Anchore, Snyk und Sysdig haben 2026 reife Tools, die SBOM-Generierung und CVE-Abgleich automatisieren. Die Investition lohnt sich beim ersten kritischen Vorfall.
Wie sich die Reaktion in das Q2-Patch-Bild einfügt
CVE-2026-40372 reiht sich in eine Serie ein. Das CISA-KEV-Update vom 20. April mit acht weiteren Schwachstellen, die PaperCut-Reaktivierung und mehrere kleinere Patches haben Security-Operations 2026 dauerhaft beschäftigt. Die Sequenz zeigt, dass die operative Belastung steigt. Teams, die 2024 mit zwei kritischen CVEs pro Monat arbeiten konnten, sehen 2026 vier bis sechs pro Woche.
Strukturell verlangt das eine andere Personal-Architektur in Security-Operations. Wer mit dem klassischen drei-Tier-SOC-Modell arbeitet, läuft 2026 hinterher. Plattform-Engineering-Sichtbarkeit, automatisierte Patch-Pipelines und SBOM-basierte Inventur müssen zur Standard-Ausstattung gehören. Wer das verschiebt, baut sich eine wachsende Reibung ein, die in den nächsten Quartalen sichtbar wird.
Für Vorstände ergibt sich aus dem Vorfall ein konkreter Handlungs-Anlass. Eine Frage nach dem Patch-Status zur nächsten Vorstandssitzung schärft das Thema bei CISO und CIO. Eine zweite Frage nach der SBOM-Disziplin gibt einen guten Reife-Check. Wer auf beide Fragen nach 30 Sekunden eine konkrete Antwort hat, hat eine funktionierende Sicherheits-Governance. Wer Vagheit liefert, hat einen identifizierbaren Investitionsbedarf.
Häufige Fragen
Welche ASP.NET-Core-Versionen sind betroffen?
DataProtection in den Versionen 10.0.0 bis 10.0.6. Der Patch in 10.0.7 ist seit dem 22. April 2026 verfügbar. Ältere Major-Versionen sind nicht direkt betroffen, sollten aber unabhängig vom Lifecycle-Status geprüft werden.
Ist eine Cookie-Rotation immer nötig?
Nicht zwingend. Bei Anwendungen mit kurzer Exposition und ohne Anzeichen für Ausnutzung reicht der Patch. Bei Internet-exponierten Anwendungen mit längerer Exposition ist eine Cookie-Rotation sinnvoll, weil sich nicht ausschließen lässt, dass bereits Cookies kompromittiert wurden.
Wie erkenne ich, ob meine Anwendung verwundbar ist?
Über SBOM-Suche nach Microsoft.AspNetCore.DataProtection in einer der genannten Versionen. Container-Image-Scans mit Trivy, Grype oder Snyk identifizieren betroffene Pakete in Bild-Layern. Dev-Teams können in der Regel innerhalb weniger Stunden Status-Auskunft geben.
Wie reagieren CISA und BSI auf den Vorfall?
CISA hat den Vorfall zeitnah dokumentiert, ohne formelle KEV-Aufnahme bis zum 23. April. Das BSI hat eine Vorabwarnung veröffentlicht. Beide Stellen empfehlen umgehendes Patchen. Die formelle KEV-Aufnahme könnte in den nächsten Tagen folgen, falls aktive Ausnutzung bestätigt wird.
Welche Detection-Regeln sind sinnvoll?
SIEM-Alerts für ungewöhnliche Cookie-Renewal-Pattern, ungewöhnliche Privilege-Escalation-Versuche aus dem ASP.NET-Core-Prozesskontext und Anomalien in Authentifizierungs-Logs. EDR-Hunt auf verdächtige Process-Spawns aus IIS- oder Kestrel-Prozessen ergänzt die Detection-Schicht.
Wie häufig veröffentlicht Microsoft Out-of-Band-Updates 2026?
Häufiger als noch 2024. In den letzten zwölf Monaten wurden mehrere kritische Out-of-Band-Updates ausgeliefert. Eine wöchentliche Routine-Sichtung der Microsoft Security Response Center Bulletins ist 2026 die richtige Cadence.
Lesetipps der Redaktion
ASP.NET Core CVE-2026-40372: Compliance-Folgen unter DORA und NIS2
Mehr aus dem MBF Media Netzwerk
Cloudmagazin: Google Cloud Location Finder Pre-GA
Quelle Titelbild: Pexels / panumas nikhomkhai (px:17489158)
