“ASP.NET में गंभीर खामी से मचा हड़कंप: Microsoft ने जारी किए इमरजेंसी पैच, सिस्टम हैक होने का बड़ा खतरा”

नई दिल्ली। टेक दुनिया में एक गंभीर सुरक्षा खतरे ने हलचल मचा दी है। Microsoft ने अपने लोकप्रिय वेब फ्रेमवर्क ASP.NET Core में पाई गई एक क्रिटिकल कमजोरी को दूर करने के लिए इमरजेंसी (Out-of-Band) सुरक्षा अपडेट जारी किए हैं। यह खामी इतनी गंभीर बताई जा रही है कि इसके जरिए कोई भी अनऑथेंटिकेटेड हमलावर सिस्टम में घुसकर उच्च स्तर (SYSTEM privileges) तक पहुंच सकता था।

यह सुरक्षा खामी CVE-2026-40372 के रूप में ट्रैक की गई है और यह ASP.NET Core के Data Protection क्रिप्टोग्राफिक सिस्टम में पाई गई। तकनीकी तौर पर यह कमजोरी ऑथेंटिकेशन कुकी को फर्जी तरीके से तैयार (forge) करने की अनुमति देती थी, जिससे हमलावर खुद को वैध यूजर के रूप में पेश कर सकते थे।

कैसे काम करती थी यह खामी

Microsoft के अनुसार, यह समस्या .NET के हालिया अपडेट (10.0.6) के बाद सामने आई, जब कई यूजर्स ने अपने एप्लिकेशन में डिक्रिप्शन फेल होने की शिकायत की। जांच में पता चला कि Data Protection API में एक तकनीकी गड़बड़ी के कारण HMAC वैलिडेशन गलत डेटा पर लागू हो रहा था और कई मामलों में उसे नजरअंदाज भी किया जा रहा था।

इस खामी का फायदा उठाकर हमलावर फर्जी डेटा तैयार कर सकते थे, जो सिस्टम द्वारा वैध मान लिया जाता। इसके बाद वे:

• ऑथेंटिकेशन कुकी को नकली बना सकते थे
• एंटी-फॉरजरी टोकन और सेशन डेटा तक पहुंच बना सकते थे
• पासवर्ड रीसेट लिंक, API keys और सेशन टोकन हासिल कर सकते थे

सबसे गंभीर बात यह है कि अगर हमलावर इस खामी के दौरान सिस्टम में प्रवेश कर चुके हैं, तो अपडेट के बाद भी उनके द्वारा बनाए गए वैध टोकन सक्रिय रह सकते हैं।

डेटा चोरी और छेड़छाड़ का खतरा

Microsoft ने अपने सुरक्षा एडवाइजरी में स्पष्ट किया है कि इस कमजोरी का उपयोग कर हमलावर संवेदनशील डेटा तक पहुंच बना सकते थे, फाइल्स को पढ़ सकते थे और उनमें बदलाव भी कर सकते थे। हालांकि, इस खामी से सिस्टम की उपलब्धता (availability) पर असर नहीं पड़ता, लेकिन डेटा सुरक्षा के लिहाज से यह बेहद खतरनाक मानी जा रही है।

तुरंत अपडेट और Key Rotation जरूरी

कंपनी ने सभी डेवलपर्स और संगठनों को सलाह दी है कि वे तुरंत Microsoft.AspNetCore.DataProtection पैकेज को 10.0.7 वर्जन में अपडेट करें और अपने एप्लिकेशन को दोबारा डिप्लॉय करें। इसके साथ ही Data Protection key ring को rotate करना भी जरूरी बताया गया है, ताकि पहले से बनाए गए किसी भी संदिग्ध टोकन को निष्क्रिय किया जा सके।

FutureCrime Summit 2026: Registrations to Open Soon for India’s Biggest Cybercrime Conference

पहले भी सामने आ चुकी हैं गंभीर खामियां

यह पहली बार नहीं है जब ASP.NET Core को लेकर गंभीर सुरक्षा खतरा सामने आया हो। इससे पहले भी Kestrel वेब सर्वर में एक हाई-सीवेरिटी बग (CVE-2025-55315) सामने आया था, जिससे हमलावर यूजर्स के क्रेडेंशियल्स चुरा सकते थे या सर्वर को क्रैश कर सकते थे।

विशेषज्ञों की चेतावनी

साइबर सुरक्षा विशेषज्ञों का कहना है कि इस तरह की कमजोरियां आधुनिक वेब एप्लिकेशन के लिए बड़े खतरे का संकेत हैं।

एक साइबर सुरक्षा शोधकर्ता का कहना है, “आज के समय में हमलावर केवल सिस्टम में घुसने की कोशिश नहीं करते, बल्कि वे वैध यूजर की पहचान हासिल कर पूरे सिस्टम को अपने नियंत्रण में लेने की रणनीति अपनाते हैं। ऐसी कमजोरियां उन्हें यही मौका देती हैं।”

क्या करें यूजर्स और कंपनियां

• तुरंत .NET और संबंधित पैकेज अपडेट करें
• सभी सेशन टोकन और कुकीज को invalidate करें
• Data Protection keys को rotate करें
• सिस्टम लॉग्स की जांच करें कि कहीं संदिग्ध गतिविधि तो नहीं हुई
• Zero Trust और Multi-Factor Authentication लागू करें

बढ़ता साइबर खतरा

यह घटना एक बार फिर दिखाती है कि डिजिटल इंफ्रास्ट्रक्चर में छोटी सी तकनीकी गलती भी बड़े पैमाने पर साइबर हमले का रास्ता खोल सकती है। खासकर उन कंपनियों के लिए जो ASP.NET Core आधारित एप्लिकेशन चला रही हैं, यह अलर्ट बेहद महत्वपूर्ण है।

तेजी से बदलते साइबर खतरे के इस दौर में समय पर अपडेट और सुरक्षा उपाय ही सबसे बड़ा बचाव हैं।