Alerta Crítico: .NET e ASP.NET Sob Ataque Massivo

Outubro de 2025 marca um momento histórico e preocupante para o ecossistema Microsoft: a divulgação de 175 vulnerabilidades no maior Patch Tuesday já registado pela empresa. Entre estas falhas, destacam-se cinco vulnerabilidades críticas que afetam diretamente aplicações .NET e ASP.NET Core, colocando milhares de organizações em risco imediato de comprometimento total dos seus sistemas.

Neste artigo do blog Dolutech, vamos analisar em profundidade as vulnerabilidades mais perigosas identificadas, compreender os vetores de ataque e fornecer orientações práticas de mitigação para proteger a infraestrutura empresarial.

O Que Torna Este Patch Tuesday Tão Excepcional?

A Microsoft estabeleceu um novo recorde negativo ao divulgar 175 CVEs num único mês, ultrapassando todas as contagens anuais anteriores. Já em outubro, o número de vulnerabilidades divulgadas em 2025 superou o total de 2024, que foi de 1.009 falhas. Este volume sem precedentes reflete tanto a complexidade crescente do ecossistema Microsoft quanto a intensificação dos esforços de descoberta de vulnerabilidades por parte da comunidade de segurança.

A vulnerabilidade CVE-2025-55315 recebeu uma pontuação CVSS de 9.9, a mais alta já atribuída a uma falha no ASP.NET Core, evidenciando a gravidade excepcional desta ameaça. Este valor aproxima-se do máximo teórico de 10.0, indicando potencial para comprometimento completo de sistemas afetados.

CVE-2025-55315: A Vulnerabilidade Mais Crítica de Sempre

Compreendendo o HTTP Request Smuggling

A CVE-2025-55315 explora uma inconsistência na interpretação de requisições HTTP no servidor web Kestrel do ASP.NET Core, permitindo ataques de HTTP Request Smuggling. Esta técnica de ataque aproveita diferenças na forma como proxies reversos e servidores backend processam cabeçalhos HTTP ambíguos.

O ataque funciona manipulando os cabeçalhos Content-Length e Transfer-Encoding: chunked de forma que o proxy interpreta a requisição de uma maneira, enquanto o servidor Kestrel a interpreta de outra. Isto permite que um atacante “contrabandee” uma segunda requisição HTTP escondida dentro da primeira.

Vetores de Exploração

Os atacantes podem explorar esta vulnerabilidade para realizar escalação de privilégios, fazendo login como outro utilizador, executar Server-Side Request Forgery (SSRF), contornar proteções CSRF e realizar ataques de injeção.

Um cenário típico de ataque envolve:

1. O atacante envia uma requisição com cabeçalhos conflituantes
2. O proxy reverso (nginx, Azure Front Door) processa usando Content-Length
3. O Kestrel processa usando Transfer-Encoding: chunked
4. Uma segunda requisição maliciosa é executada com as credenciais da primeira

Versões Afetadas e Remediação

A vulnerabilidade afeta ASP.NET Core 8.0 (versões até 8.0.20), ASP.NET Core 9.0 (até 9.0.9), ASP.NET Core 10.0 (rc.1), e o pacote Microsoft.AspNetCore.Server.Kestrel.Core versão 2.3.0.

A Microsoft disponibilizou patches imediatos que devem ser aplicados com urgência máxima em todos os sistemas expostos à Internet. Para aplicações self-contained, é obrigatória a recompilação e redistribuição após a atualização.

CVE-2025-21176: Execução Remota de Código via Visual Studio

Esta vulnerabilidade de execução remota de código afeta .NET 8.0 (até versão 8.0.11) e .NET 9.0 (versão 9.0.0), com pontuação CVSS de 8.8. O vetor de ataque explora uma falha de buffer over-read no componente DiaSymReader.dll.

Mecanismo de Ataque

Um atacante pode explorar esta falha carregando um ficheiro especialmente criado no Visual Studio, potencialmente executando código arbitrário no sistema afetado. Esta vulnerabilidade é particularmente insidiosa porque pode comprometer máquinas de desenvolvimento, permitindo que atacantes injetem backdoors diretamente no código-fonte de projetos em desenvolvimento.

Ficheiros de projeto Visual Studio (.csproj) ou pacotes NuGet maliciosos podem conter payloads que, quando abertos, desencadeiam a execução de código sem qualquer interação adicional do utilizador além da abertura do ficheiro.

Medidas de Proteção Imediatas

Nós recomendamos:

• Atualização imediata para .NET 8.0.12 ou .NET 9.0.1
• Nunca abrir projetos ou pacotes NuGet de fontes não confiáveis
• Implementar verificação de integridade de ficheiros antes da abertura
• Utilizar ferramentas de análise de código estático em todos os projetos

CVE-2025-21173: Escalação de Privilégios em Linux

Esta vulnerabilidade, classificada com CVSS 7.3, afeta exclusivamente instalações .NET em sistemas Linux devido à criação de ficheiros temporários com permissões inadequadas. A falha permite que utilizadores locais com privilégios baixos obtenham acesso ao nível SYSTEM.

Contexto Técnico

O problema decorre da criação de ficheiros temporários pelo SDK .NET em diretórios com permissões inseguras, permitindo manipulação por atacantes locais. Esta é uma vulnerabilidade clássica do tipo CWE-379 (Creation of Temporary File in Directory with Insecure Permissions).

As versões afetadas incluem .NET 8.0 SDK (8.0.100 até 8.0.111 e 8.0.300 até 8.0.307) e .NET 9.0 SDK (9.0.100 até 9.0.101). É fundamental destacar que esta vulnerabilidade não afeta instalações Windows.

Verificação e Correção

Para verificar a versão instalada, execute:

dotnet --info

Os patches disponíveis são .NET 8.0 SDK 8.0.112, 8.0.308 e .NET 9.0 SDK 9.0.102.

CVE-2025-24070: Autenticação Fraca no ASP.NET Core Identity

Esta vulnerabilidade com CVSS 7.0 afeta aplicações ASP.NET Core que utilizam o método RefreshSignInAsync, permitindo que atacantes se autentiquem como outros utilizadores.

Análise da Falha

A vulnerabilidade permite que o método RefreshSignInAsync aceite um parâmetro de utilizador diferente do atualmente autenticado, criando um cenário onde um atacante pode sequestrar uma sessão autenticada e assumir a identidade de outro utilizador.

O fluxo de ataque é:

1. Utilizador A autentica-se normalmente
2. Durante a sessão ativa, o atacante invoca RefreshSignInAsync passando Utilizador B como parâmetro
3. Devido à validação inadequada, a sessão é atualizada para Utilizador B
4. O atacante obtém acesso total com os privilégios de Utilizador B

Versões Comprometidas

A vulnerabilidade afeta ASP.NET Core 6.0 (até 6.0.36), ASP.NET Core 8.0 (até 8.0.13), ASP.NET Core 9.0 (até 9.0.2) e Microsoft.AspNetCore.Identity versão 2.3.0.

Particularmente preocupante é o facto de o .NET 6 estar em fim de vida (EOL) mas ter recebido patches devido à gravidade da falha.

CVE-2025-21172: Execução Remota de Código no Runtime .NET

Esta vulnerabilidade crítica, com CVSS 7.5, está relacionada a buffer overflow baseado em heap e integer overflow no runtime .NET. A exploração requer interação do utilizador mas pode ser executada remotamente através da rede sem privilégios necessários.

A falha afeta .NET 8.0 (versões até 8.0.11) e .NET 9.0.0, com patches disponíveis nas versões 8.0.12 e 9.0.1 respetivamente.

Estratégias de Defesa e Mitigação

Priorização de Patches

A Dolutech recomenda a seguinte ordem de priorização:

Urgência Crítica (24-48 horas):

• CVE-2025-55315 em todos os sistemas ASP.NET Core expostos à Internet
• CVE-2025-21176 em ambientes de desenvolvimento

Alta Prioridade (72 horas):

• CVE-2025-21173 em servidores Linux
• CVE-2025-21172 em aplicações de produção
• CVE-2025-24070 em sistemas de autenticação

Hardening do Ambiente Kestrel

Para proteção adicional contra HTTP Request Smuggling, implemente as seguintes configurações:

Limitação de Requisições:

{
  "Kestrel": {
    "Limits": {
      "MaxRequestHeaderCount": 100,
      "MaxRequestHeadersTotalSize": 32768,
      "MaxRequestLineSize": 8192,
      "RequestHeadersTimeout": "00:00:30"
    }
  }
}

Validação de Cabeçalhos: Implemente middleware para rejeitar requisições ambíguas com cabeçalhos Content-Length e Transfer-Encoding simultâneos.

Configuração de WAF

Configure o Web Application Firewall com regras específicas para:

• Bloquear requisições com cabeçalhos conflituantes
• Detetar valores duplicados de Content-Length
• Normalizar todas as requisições antes do encaminhamento
• Implementar lista branca de métodos HTTP

Monitorização e Deteção

Implemente monitorização ativa procurando:

• Requisições com cabeçalhos HTTP duplicados ou conflituantes
• Acessos anormais a endpoints administrativos
• Criação de ficheiros temporários suspeitos em /tmp (Linux)
• Processos .NET executando com privilégios elevados inesperados

Ferramentas de Análise Recomendadas

Para deteção proativa de vulnerabilidades em código C#:

• Security Code Scan: Analisador gratuito baseado em Roslyn
• SonarQube/SonarCloud: Análise abrangente de segurança
• CodeQL: GitHub Security Scanning integrado
• Snyk Code: Análise baseada em IA
• Semgrep: Motor SAST de código aberto

Impacto no Ecossistema .NET

O volume de 175 CVEs estabelece este lançamento como a maior atualização Patch Tuesday documentada por investigadores de segurança nos últimos anos. Este número sem precedentes reflete a maturidade e ubiquidade do ecossistema .NET, mas também expõe a superfície de ataque massiva que este representa.

Entre as vulnerabilidades divulgadas, duas estão sob exploração ativa: CVE-2025-24990 (driver Agere Modem) e CVE-2025-59230 (Windows Remote Access Connection Manager), ambas permitindo escalação de privilégios locais.

Perspetiva de Segurança Empresarial

A convergência de múltiplas vulnerabilidades críticas num único ciclo de patches apresenta desafios operacionais significativos para equipas de TI. Organizações que dependem de infraestrutura .NET para operações críticas de negócio enfrentam uma janela de risco particularmente elevada até que patches sejam completamente implementados.

A vulnerabilidade CVE-2025-55315, com a sua pontuação recorde de 9.9, merece atenção especial. Barry Dorrans, gestor do programa de segurança .NET, explicou que a pontuação elevada reflete não apenas a vulnerabilidade de HTTP Request Smuggling em si, mas o potencial impacto em aplicações construídas sobre ASP.NET Core.

Conclusão: A Urgência da Ação Imediata

As vulnerabilidades divulgadas em outubro de 2025 representam uma ameaça existencial para organizações que operam infraestrutura .NET não parcheada. A combinação de falhas permitindo execução remota de código, escalação de privilégios e bypass de autenticação cria um cenário perfeito para comprometimento total de sistemas.

Nós destacamos que a Microsoft confirmou não existirem fatores mitigadores para estas vulnerabilidades além da aplicação imediata dos patches. Qualquer atraso na implementação das correções expõe as organizações a riscos críticos de segurança.

A Dolutech recomenda ações imediatas:

✓ Aplicar todos os patches de segurança em instalações .NET e ASP.NET Core ✓ Recompilar e redistribuir aplicações self-contained ✓ Implementar monitorização de logs para detetar tentativas de exploração ✓ Configurar WAF com regras anti-smuggling ✓ Realizar análise de código estático em todos os projetos C# ✓ Estabelecer procedimentos de resposta a incidentes para comprometimentos .NET

O tempo é crítico. Cada dia sem patches aumenta exponencialmente o risco de comprometimento. Organizações que não atuarem imediatamente permanecerão vulneráveis a ataques que podem resultar em perda de dados, interrupção de serviços e danos reputacionais irreparáveis.

Lucas Catão de Moraes

Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.