Microsoft ASP.NET Core Zero-Day CVE-2026-40372 : CVSS 9.1, Patch disponible depuis le 22 avril

7 min. de lecture · Date: 23.04.2026

Microsoft a publié le 22 avril 2026 une mise à jour hors bande et a confirmé avec CVE-2026-40372 un bug de score CVSS 9.1 dans ASP.NET Core. La faille permet à un attaquant non authentifié d’escalader les privilèges jusqu’au niveau SYSTEM en falsifiant des cookies d’authentification. Le correctif dans DataProtection 10.0.7 est disponible. Mais le vrai risque ne réside pas dans la faille elle-même, mais dans sa propagation: Des milliers d’applications d’entreprise tournent sur des serveurs auto-construits qui n’ont pas de mise à jour automatique. Les équipes de sécurité ont maintenant besoin d’un plan clair sur 72 heures.

Points clés

Microsoft a publié publiquement CVE-2026-40372 dans ASP.NET Core DataProtection 10.0.0 à 10.0.6 le 22 avril 2026 et a livré le correctif dans la version 10.0.7.
CVSS 9.1, escalade de privilèges jusqu’au niveau SYSTEM, pas besoin d’authentification, exploitable via le réseau.
La mise à jour hors bande signalise l’urgence. Microsoft publie rarement des mises à jour de cette classe en dehors du cycle régulier de Patch Tuesday.
Des milliers d’applications ASP.NET Core s’exécutent sur des serveurs auto-construits, dans des images conteneur ou dans des pipelines CI personnalisés sans mise à jour automatique.
Les équipes de sécurité ont besoin d’un balayage d’inventaire sur 72 heures, suivi d’un déploiement de correctifs prioritaire et d’une rotation des cookies dans les applications particulièrement exposées.

Que fait cette vulnérabilité concrètement

Qu’est-ce que CVE-2026-40372 ? CVE-2026-40372 est une faille d’escalade de privilèges dans la bibliothèque DataProtection d’ASP.NET Core, publiée le 22 avril 2026 avec un score CVSS de 9.1. Une régression dans les versions 10.0.0 à 10.0.6 affaiblit la vérification de la signature cryptographique. Un attaquant peut contourner la validation avec un HMAC tout-zéro et ainsi falsifier les cookies d’authentification et les jetons Antiforgery. Par la suite, il est possible d’obtenir des privilèges SYSTEM sur l’hôte ASP.NET Core. Microsoft a livré le correctif dans la version 10.0.7.

Le mécanisme est bien documenté. ASP.NET Core utilise DataProtection pour le chiffrement et la signature des cookies. Si la validation de signature accepte un HMAC tout-zéro, n’importe quel cookie peut être falsifié. Cela ouvre la porte à une contournement d’authentification. Ensuite, un attaquant peut prendre le contrôle de la session d’un administrateur et exécuter du code avec des privilèges SYSTEM via le pipeline ASP.NET Core. La chaîne d’escalade est courte, mais les dommages dans les applications de production sont considérables.

Le problème réside moins dans la vulnérabilité elle-même que dans sa propagation. ASP.NET Core fonctionne dans des dizaines de milliers d’applications d’entreprise à travers tous les secteurs. De nombreuses de ces applications ont été migrées vers .NET 10 au cours des 24 derniers mois, sans que la configuration DataProtection ait été vérifiée. Les images de conteneurs avec le runtime .NET 10 sont construites dans des pipelines CI et déployées sur des clusters Kubernetes, sans chemin de correctif automatisé. Quiconque ne dispose pas d’un mécanisme de suivi actif pour les updates hors bande de Microsoft risque de passer à côté de cette vulnérabilité.

9,1 CVSS

Escalade de privilèges dans DataProtection d’ASP.NET Core

10.0.7

Version du correctif, versions affectées 10.0.0 à 10.0.6

22 avril

Microsoft Update hors bande 2026

Quelles classes d’applications sont particulièrement critiques

Trois classes d’applications méritent une attention particulière. La première est l’application web backend classique sur .NET 10. Toute personne exploitant une application web côté client dans un secteur réglementé, comme la banque en ligne, les portails d’auto-service client ou les parcours de demande d’assurance, dispose d’une surface d’attaque directement exposée. Ici, le correctif devrait être déployé en production dans un délai de 48 heures, avec une traçabilité d’audit documentée.

La deuxième classe comprend les passerelles d’API internes et les services de niveau intermédiaire (Mid-Tier). Ces applications ne sont pas directement accessibles depuis Internet, mais dès qu’un attaquant obtient une tête de pont dans le réseau interne, la faille s’aggrave rapidement. Toute entreprise n’appliquant pas une segmentation réseau stricte devrait traiter les correctifs de la même manière que pour les applications exposées à Internet. La perspective de conformité concernant DORA et NIS2 explique pourquoi les applications internes dans les secteurs réglementés doivent être traitées de manière similaire.

La troisième classe comprend les applications ASP.NET Core plus anciennes, qui ont été migrées vers .NET 10 au cours des 24 derniers mois sans que la configuration DataProtection ait été vérifiée. Ces applications sont souvent en mode maintenance et sont mises à jour moins fréquemment. C’est précisément pourquoi elles constituent une cible attractive. Un inventaire des restes de migration devrait être réalisé en parallèle du déploiement des correctifs.

Ce que les équipes de sécurité doivent faire immédiatement

Recherche de SBOM pour Microsoft.AspNetCore.DataProtection 10.0.0 à 10.0.6
Scan des images de conteneurs pour les versions d’exécution .NET 10
Déploiement des correctifs priorisé selon l’exposition à Internet
Rotation des cookies dans les applications avec exposition prolongée

Ce qui ne fonctionne pas

Faire uniquement confiance à « nous ne sommes pas accessibles »
Déploiement de correctifs sans rotation des cookies dans les applications exposées
Images de conteneurs sans recompilation et redéploiement
Compter sur les routines de Microsoft Patch Tuesday, car les mises à jour hors bande sont gérées séparément

Un plan de réaction en 72 heures pour les opérations de sécurité

Trois jours suffisent pour une réaction efficace lorsque l’ingénierie et la sécurité travaillent main dans la main. La logique de étapes suivantes s’est avérée efficace dans plusieurs banques et assureurs de la région DACH (Allemagne, Autriche, Suisse).

Heures 0-12

Inventaire. Recherche de SBOM (Software Bill of Materials), analyse des images de conteneurs, consultation des équipes d’ingénierie. Résultat : liste de toutes les applications ASP.NET-Core affectées avec leur numéro de version et leur exposition.

Heures 12-24

Tri. Quelles applications sont exposées à Internet, lesquelles sont internes, lesquelles sont dans des processus réglementés? Priorisation en fonction des risques, détermination de la séquence de correctifs.

Heures 24-48

Déploiement des correctifs pour les applications critiques. Les applications exposées à Internet en premier, avec rotation des cookies. Reconstruction et déploiement des images de conteneurs, documentation de la traçabilité d’audit.

Heures 48-60

Déploiement des correctifs pour les applications internes. Services de niveau intermédiaire, passerelles API, services backend. Activation des règles SIEM (Security Information and Event Management) pour les modèles de renouvellement de cookies suspects.

Heures 60-72

Examen forensique. Vérification des journaux des 30 derniers jours à la recherche de modèles d’authentification inhabituels. En cas de découverte, lancer la chaîne d’incidents. Finaliser le rapport destiné au CISO et au conseil d’administration.

Ce que la faille révèle sur les routines de patch de Microsoft en 2026

Au cours des douze derniers mois, Microsoft a publié plus fréquemment des mises à jour hors bande qu’en 2024. Cela modifie les attentes opérationnelles en matière de sécurité. Ceux qui ne suivent que le cycle mensuel du Patch Tuesday risquent de manquer régulièrement les mises à jour hors bande critiques. En 2026, les bulletins du Microsoft Security Response Center doivent être intégrés dans un créneau de routine hebdomadaire, avec un plan d’escalade en cas de publications critiques.

Une deuxième observation mérite l’attention. ASP.NET Core est une plateforme largement répandue sur le marché DACH, notamment dans les secteurs de la finance, des assurances et des services publics. La faille ne concerne pas un composant de niche, mais une couche centrale. Les responsables de la sécurité qui ne connaissent pas la portée de la plateforme de leur entreprise ont un angle mort dans des vagues comme celle-ci. Un inventaire complet de la plateforme, mis à jour une fois par an, est bénéfique.

Troisièmement : en 2026, la discipline SBOM (Software Bill of Materials) est l’investissement opérationnel le plus important. Ceux qui disposent d’une liste complète et bien entretenue des composants logiciels réagissent en quelques heures à de tels incidents. Ceux qui n’ont pas de SBOM passent les premières 12 heures à chercher plutôt qu’à patcher. Des fournisseurs comme Anchore, Snyk et Sysdig disposent en 2026 d’outils matures qui automatisent la génération de SBOM et la comparaison avec les CVE. L’investissement est rentable dès le premier incident critique.

Comment la réaction s’intègre dans le tableau des patchs du T2

CVE-2026-40372 s’inscrit dans une série. La mise à jour CISA KEV du 20 avril avec huit autres vulnérabilités, y compris la réactivation de PaperCut et plusieurs patchs mineurs, ont durablement occupé les opérations de sécurité en 2026. La séquence montre que la charge opérationnelle augmente. Les équipes qui pouvaient gérer deux CVE critiques par mois en 2024 voient quatre à six par semaine en 2026.

Structurellement, cela nécessite une architecture de personnel différente dans les opérations de sécurité. Ceux qui travaillent avec le modèle classique de SOC à trois niveaux seront à la traîne en 2026. La visibilité de l’ingénierie des plateformes, les pipelines de patchs automatisés et l’inventaire basé sur SBOM doivent devenir des équipements standard. Ceux qui reportent cela s’exposent à une friction croissante qui deviendra visible au cours des prochains trimestres.

Pour les conseils d’administration, l’incident offre une occasion concrète d’agir. Poser une question sur l’état des patchs lors de la prochaine réunion du conseil d’administration sensibilisera le CISO et le CIO au sujet. Une deuxième question sur la discipline SBOM fournira un bon indicateur de maturité. Ceux qui peuvent répondre concrètement à ces deux questions en 30 secondes ont une gouvernance de sécurité fonctionnelle. Ceux qui restent vagues ont un besoin d’investissement identifiable.

Questions fréquentes

Quelles versions d’ASP.NET Core sont concernées ?

DataProtection dans les versions 10.0.0 à 10.0.6. Le correctif dans la version 10.0.7 est disponible depuis le 22 avril 2026. Les versions majeures plus anciennes ne sont pas directement concernées, mais devraient être vérifiées indépendamment de leur statut de cycle de vie.

Une rotation des cookies est-elle toujours nécessaire ?

Pas obligatoirement. Pour les applications avec une exposition courte et sans signes d’exploitation, le correctif suffit. Pour les applications exposées à Internet avec une exposition prolongée, une rotation des cookies est judicieuse, car on ne peut exclure que des cookies aient déjà été compromis.

Comment savoir si mon application est vulnérable ?

Via une recherche SBOM de Microsoft.AspNetCore.DataProtection dans l’une des versions mentionnées. Des analyses d’images de conteneurs avec Trivy, Grype ou Snyk identifient les packages affectés dans les couches d’image. Les équipes de développement peuvent généralement donner un statut en quelques heures.

Comment CISA et BSI réagissent-ils à l’incident ?

CISA a documenté l’incident rapidement, sans inscription formelle KEV jusqu’au 23 avril. Le BSI a publié un avertissement préalable. Les deux organismes recommandent un correctif immédiat. L’inscription formelle KEV pourrait suivre dans les prochains jours si une exploitation active est confirmée.

Quelles règles de détection sont pertinentes ?

Alertes SIEM pour les motifs inhabituels de renouvellement de cookies, les tentatives inhabituelles d’escalade de privilèges à partir du contexte du processus ASP.NET Core et les anomalies dans les journaux d’authentification. Une recherche EDR sur les processus suspects générés à partir de processus IIS ou Kestrel complète la couche de détection.

À quelle fréquence Microsoft publie-t-il des correctifs hors bande en 2026 ?

Plus fréquemment qu’en 2024. Au cours des douze derniers mois, plusieurs correctifs critiques hors bande ont été déployés. Une consultation hebdomadaire régulière des bulletins du Microsoft Security Response Center est le bon rythme pour 2026.