Awal pekan ini, Microsoft menambal kerentanan yang ditandai dengan tingkat keparahan “tertinggi” yang diterima oleh kelemahan keamanan ASP.NET Core.
Bug penyelundupan permintaan HTTP ini (CVE-2025-55315) ditemukan di server web Kestrel ASP.NET Core, dan memungkinkan penyerang terautentikasi menyelundupkan permintaan HTTP lain untuk membajak kredensial pengguna lain atau melewati kontrol keamanan front-end.
“Penyerang yang berhasil mengeksploitasi kerentanan ini dapat melihat informasi sensitif seperti kredensial pengguna lain (Kerahasiaan) dan membuat perubahan pada konten file di server target (Integritas), dan mereka mungkin dapat menyebabkan crash di dalam server (Ketersediaan),” kata Microsoft dalam sebuah pernyataan. nasihat hari Selasa.
Untuk memastikan bahwa aplikasi ASP.NET Core mereka aman dari potensi serangan, Microsoft menyarankan pengembang dan pengguna untuk mengambil langkah-langkah berikut:
- Jika menjalankan .NET 8 atau lebih baru, instal pembaruan .NET dari Pembaruan Microsoft, lalu mulai ulang aplikasi Anda atau reboot mesin.
- Jika menjalankan .NET 2.3, perbarui referensi paket untuk Microsoft.AspNet.Server.Kestrel.Core ke 2.3.6, lalu kompilasi ulang aplikasi, dan terapkan ulang.
- Jika menjalankan aplikasi mandiri/file tunggal, instal pembaruan .NET, kompilasi ulang, dan terapkan ulang.
Untuk mengatasi kerentanan, Microsoft telah merilis pembaruan keamanan untuk Microsoft Visual Studio 2022, ASP.NET Core 2.3, ASP.NET Core 8.0, dan ASP.NET Core 9.0, serta paket Microsoft.AspNetCore.Server.Kestrel.Core untuk aplikasi ASP.NET Core 2.x.
Seperti yang dijelaskan oleh manajer program teknis keamanan .NET Barry Dorrans, dampak serangan CVE-2025-55315 akan bergantung pada aplikasi ASP.NET yang ditargetkan, dan eksploitasi yang berhasil dapat memungkinkan pelaku ancaman untuk masuk sebagai pengguna yang berbeda (untuk peningkatan hak istimewa), membuat permintaan internal (dalam serangan pemalsuan permintaan sisi server), melewati pemeriksaan pemalsuan permintaan lintas situs (CSRF), atau melakukan injeksi serangan.
“Tetapi kami tidak tahu apa yang mungkin terjadi karena hal ini bergantung pada cara Anda menulis aplikasi. Oleh karena itu, kami menilai dengan mempertimbangkan kemungkinan terburuk, yaitu fitur keamanan yang mengabaikan cakupan yang berubah,” kata Dorran.
“Apakah itu mungkin? Tidak, mungkin tidak, kecuali kode aplikasi Anda melakukan sesuatu yang aneh dan melewatkan banyak pemeriksaan yang seharusnya dilakukan pada setiap permintaan. Namun harap perbarui.”
Selama Patch Tuesday bulan ini, Microsoft merilis pembaruan keamanan untuk 172 kelemahantermasuk delapan kerentanan “Kritis” dan enam bug zero-day (tiga di antaranya dieksploitasi dalam serangan).
Minggu ini, Microsoft juga menerbitkan KB5066791, pembaruan kumulatif yang mencakup pembaruan keamanan Windows 10 terakhir saat sistem operasi mencapai akhir siklus hidup dukungannya.
