Lo que comenzó como una actualización rutinaria de "Patch Tuesday" terminó en una vulnerabilidad crítica. Un fallo en la biblioteca de protección de datos permite a atacantes falsificar identidades y escalar privilegios en sistemas no pertenecientes a Windows.
REDMOND, 22 de abril de 2026 – Microsoft se ha visto obligada a publicar una actualización de seguridad fuera de ciclo (OOB) tras descubrir que su parche de la semana pasada introdujo, por error, una vulnerabilidad crítica en el framework ASP.NET Core. El fallo, identificado como CVE-2026-40372, afecta principalmente a aplicaciones que corren sobre macOS y Linux, dejando la puerta abierta a que atacantes tomen el control total de los sistemas afectados.
Un "regreso al pasado" peligrosoEl problema técnico ha sido calificado por los desarrolladores como una regresión. En el mundo del software, esto ocurre cuando una actualización nueva rompe accidentalmente una medida de seguridad que ya funcionaba correctamente.
En este caso, la actualización del 14 de abril para .NET 10.0.6 contenía un error en el componente Data Protection. Este módulo es el encargado de cifrar y validar elementos críticos como las "cookies" de inicio de sesión y los tokens de autenticación. Debido al error, el sistema dejó de verificar correctamente las firmas digitales, permitiendo que un atacante envíe datos falsificados que el servidor acepta como legítimos.
Elevación de privilegios: El riesgo realLa vulnerabilidad ha recibido una puntuación de 9.1 sobre 10 en la escala de severidad (CVSS), lo que la sitúa en la categoría de "crítica".
Según el aviso de seguridad de Microsoft:
Falsificación de identidad: Un atacante podría crear una cookie de autenticación falsa para hacerse pasar por un administrador sin conocer su contraseña.
Acceso "SYSTEM": Al explotar este fallo, un usuario sin autorización podría elevar sus privilegios hasta obtener el control total del servidor o dispositivo (privilegios de nivel SYSTEM).
Exposición de datos: Información protegida por el framework, como tokens de restablecimiento de contraseña o enlaces de inicio de sesión único (OIDC), podría ser descifrada por actores malintencionados.
Aunque ASP.NET Core es multiplataforma, la implementación específica de los algoritmos de protección de datos varía según el sistema operativo. En Windows, se suelen utilizar APIs nativas del sistema que no se vieron afectadas por este error de código. Sin embargo, en macOS, Linux y otros entornos como Docker, el framework utiliza una implementación gestionada que fue precisamente donde se introdujo el fallo de validación.
Acciones urgentes para desarrolladoresMicrosoft ha instado a todos los desarrolladores y administradores de sistemas a actualizar de inmediato a la versión .NET 10.0.7.
Además de instalar el parche, la compañía recomienda una medida de "limpieza" drástica: dado que los atacantes podrían haber generado tokens legítimos durante la ventana de vulnerabilidad, es necesario invalidar todas las cookies de sesión actuales y rotar las claves de protección de datos.
"Si un atacante logró autenticarse como un usuario privilegiado durante estos últimos días, podría haber obtenido tokens de acceso que seguirán siendo válidos incluso después de aplicar el parche", advirtió Microsoft en su comunicado técnico. Hasta el momento, no hay pruebas de que el fallo haya sido explotado masivamente en la red, pero la facilidad para ejecutar el ataque ha puesto en alerta a la comunidad de ciberseguridad.