Microsoft ASP.NET Core Zero-Day CVE-2026-40372: CVSS 9.1, Patch desde el 22 de abril

7 Min. lectura · Fecha: 23.04.2026

Microsoft publicó el 22 de abril de 2026 una actualización fuera de banda y confirmó con CVE-2026-40372 un error de 9.1 en CVSS en ASP.NET Core. La vulnerabilidad permite a un atacante no autenticado escalar privilegios hasta nivel SYSTEM falsificando cookies de autenticación. El parche en DataProtection 10.0.7 está disponible. El verdadero riesgo no reside en la vulnerabilidad en sí, sino en su propagación: Miles de aplicaciones empresariales se ejecutan en servidores de construcción propia que no tienen actualizaciones automáticas. Los equipos de seguridad necesitan ahora un plan de 72 horas bien estructurado.

Lo más importante en resumen

• Microsoft hizo público CVE-2026-40372 en ASP.NET Core DataProtection 10.0.0 a 10.0.6 el 22 de abril de 2026 y entregó la corrección en 10.0.7.
• CVSS 9.1, escalada de privilegios hasta SYSTEM, no requiere autenticación, explotable a través de la red.
• La actualización fuera de banda señala la urgencia. Microsoft rara vez publica actualizaciones de esta clase fuera del ciclo regular de Patch Tuesday.
• Miles de aplicaciones ASP.NET Core se ejecutan en servidores de construcción propia, en imágenes de contenedor o en pipelines de CI personalizados sin actualización automática.
• Los equipos de seguridad necesitan un barrido de inventario de 72 horas, seguido de una implementación prioritaria de parches y rotación de cookies en aplicaciones especialmente expuestas.

Qué hace esta vulnerabilidad concreta

¿Qué es CVE-2026-40372? CVE-2026-40372 es una vulnerabilidad de escalada de privilegios en la biblioteca DataProtection de ASP.NET Core, publicada el 22 de abril de 2026 con una puntuación CVSS de 9.1. Una regresión en las versiones 10.0.0 a 10.0.6 debilita la verificación de la firma criptográfica. Un atacante puede usar un HMAC todo-ceros para omitir la validación y, por tanto, falsificar cookies de autenticación y tokens antifalsificación. Posteriormente, es posible alcanzar privilegios de SYSTEM en el host de ASP.NET Core. Microsoft ha distribuido la corrección en la versión 10.0.7.

El mecanismo está bien documentado. ASP.NET Core utiliza DataProtection para el cifrado y firma de cookies. Si la validación de firma acepta un HMAC todo-ceros, es posible falsificar cualquier cookie. Esto abre la puerta a una omisión de autenticación. Posteriormente, un atacante puede hacerse con la sesión de un administrador y, a través de la canalización de ASP.NET Core, ejecutar código con privilegios de SYSTEM. La cadena de escalada es corta, pero el daño en aplicaciones de producción es considerable.

El problema no tanto está en la vulnerabilidad en sí misma como en su difusión. ASP.NET Core se ejecuta en decenas de miles de aplicaciones empresariales en todos los sectores. Muchas de estas aplicaciones se han migrado a .NET 10 en los últimos 24 meses sin que se haya revisado la configuración de DataProtection. Las imágenes de contenedor con runtime .NET 10 se construyen en pipelines de CI y se despliegan en clústeres de Kubernetes, sin una ruta de corrección automática. Quien no tenga un mecanismo de seguimiento activo para las actualizaciones fuera de ciclo de Microsoft, puede pasar por alto fácilmente esta vulnerabilidad.

Qué clases de aplicaciones son especialmente críticas

Tres clases de aplicaciones merecen especial atención. La primera es la aplicación web clásica de backend en .NET 10. Quien opera una aplicación web para clientes en un sector regulado, como banca en línea, portales de autoservicio para clientes o procesos de solicitud de seguros, tiene una superficie de ataque directamente expuesta. Aquí, el parche debería estar en producción en un plazo de 48 horas, con un registro de auditoría documentado.

La segunda clase son las API gateways internas y los servicios de capa intermedia. Estas aplicaciones no son directamente accesibles desde Internet, pero tan pronto como un atacante consigue una cabeza de puente en la red interna, la vulnerabilidad se escala rápidamente. Quienes no implementan una segmentación de red estricta deberían tratar los parches de la misma manera que en las aplicaciones expuestas a Internet. La perspectiva de cumplimiento sobre DORA y NIS2 explica por qué las aplicaciones internas en sectores regulados deben tratarse de manera similar.

La tercera clase son las aplicaciones ASP.NET Core más antiguas que se han migrado a .NET 10 en los últimos 24 meses sin haber verificado la configuración de DataProtection. Estas aplicaciones a menudo están en estado de mantenimiento y se actualizan con menos frecuencia. Precisamente por eso son un objetivo atractivo. Un inventario de los restos de la migración debería realizarse en paralelo con la implementación de parches.

Un plan de respuesta de 72 horas para las operaciones de seguridad

Tres días son suficientes para una respuesta eficaz cuando Ingeniería y Seguridad trabajan de la mano. La siguiente lógica de pasos se ha consolidado en varios bancos y aseguradoras del espacio DACH.

Lo que la brecha sobre las rutinas de parches de Microsoft 2026 muestra

Microsoft ha publicado actualizaciones Out-of-Band con más frecuencia en los últimos doce meses que en 2024. Esto cambia las expectativas operativas de las operaciones de seguridad. Quien solo rastrea el ciclo mensual de Patch Tuesday, pierde regularmente las actualizaciones críticas Out-of-Band. Los boletines del Microsoft Security Response Center en 2026 deben incluirse en una ranura semanal de rutina, con un camino de escalada para publicaciones críticas.

Una segunda observación merece atención. ASP.NET Core es una plataforma con una difusión muy amplia en el mercado DACH, especialmente en los sectores financiero, asegurador y de servicios públicos. La brecha no afecta a un componente de nicho, sino a una capa central. Quien como responsable de seguridad no conoce el alcance de la plataforma de su empresa, tiene un punto ciego en oleadas como esta. Un inventario básico de plataforma, que se actualiza una vez al año, merece la pena.

Tercero: la disciplina SBOM es en 2026 la inversión operativa más importante. Quien tiene una lista de software completa y bien mantenida, reacciona en horas a estos incidentes. Quien no tiene SBOM, pasa las primeras 12 horas buscando en lugar de parchar. Proveedores como Anchore, Snyk y Sysdig tienen en 2026 herramientas maduras que automatizan la generación de SBOM y la comparación de CVE. La inversión merece la pena en el primer incidente crítico.

Cómo encaja la reacción en el panorama de parches del segundo trimestre

CVE-2026-40372 se suma a una serie. La actualización CISA-KEV del 20 de abril con otras ocho vulnerabilidades, la reactivación de PaperCut y varios parches menores han mantenido ocupadas permanentemente a las operaciones de seguridad en 2026. La secuencia muestra que la carga operativa está aumentando. Los equipos que en 2024 podían trabajar con dos CVE críticas al mes, en 2026 enfrentan de cuatro a seis por semana.

Estructuralmente, esto requiere una arquitectura de personal diferente en las operaciones de seguridad. Quien trabaje con el modelo clásico de tres niveles de SOC (Centro de Operaciones de Seguridad), quedará rezagado en 2026. La visibilidad de ingeniería de plataforma, las canalizaciones de parches automatizadas y el inventario basado en SBOM (Bill of Materials de Software) deben convertirse en equipo estándar. Quien posponga esto, se creará una fricción creciente que se hará visible en los próximos trimestres.

Para los consejos de administración, el incidente plantea una razón concreta para actuar. Una pregunta sobre el estado de los parches en la próxima reunión de consejo agudiza el tema para el CISO y el CIO. Una segunda pregunta sobre la disciplina SBOM proporciona una buena comprobación de madurez. Quien pueda dar una respuesta concreta a ambas preguntas después de 30 segundos, tiene una gobernanza de seguridad funcional. Quien ofrezca vaguedad, tiene una necesidad de inversión identificable.

Preguntas frecuentes

¿Qué versiones de ASP.NET Core están afectadas?

DataProtection en las versiones 10.0.0 hasta 10.0.6. El parche en 10.0.7 está disponible desde el 22 de abril de 2026. Las versiones principales más antiguas no están directamente afectadas, pero deben revisarse independientemente del estado del ciclo de vida.

¿Es siempre necesaria la rotación de cookies?

No es obligatorio. Para aplicaciones con corta exposición y sin signos de explotación, basta con el parche. Para aplicaciones expuestas a Internet con mayor exposición, la rotación de cookies es recomendable, ya que no se puede descartar que las cookies ya hayan sido comprometidas.

¿Cómo sé si mi aplicación es vulnerable?

Búsqueda de SBOM de Microsoft.AspNetCore.DataProtection en una de las versiones mencionadas. Los escaneos de imágenes de contenedor con Trivy, Grype o Snyk identifican paquetes afectados en las capas de imágenes. Los equipos de desarrollo suelen poder proporcionar un estado en pocas horas.

¿Cómo reaccionan CISA y BSI al incidente?

CISA ha documentado el incidente oportunamente, sin inclusión formal en KEV hasta el 23 de abril. El BSI ha publicado una advertencia preliminar. Ambas agencias recomiendan aplicar parches de inmediato. La inclusión formal en KEV podría seguir en los próximos días si se confirma explotación activa.

¿Qué reglas de detección son recomendables?

Alertas de SIEM para patrones inusuales de renovación de cookies, intentos inusuales de escalada de privilegios desde el contexto del proceso ASP.NET-Core y anomalías en los registros de autenticación. La búsqueda con EDR de procesos sospechosos generados desde procesos IIS o Kestrel complementa la capa de detección.

¿Con qué frecuencia publica Microsoft actualizaciones fuera de banda en 2026?

Con más frecuencia que en 2024. En los últimos doce meses se han entregado varias actualizaciones críticas fuera de banda. Una revisión semanal de los boletines del Microsoft Security Response Center es el ritmo adecuado para 2026.

Fuente imagen de portada: Pexels / panumas nikhomkhai (px:17489158)

Sobre el autor: Benedikt Langer

Más artículos de Benedikt Langer