IT & Tech 05.05.2026

Die offene Tür im Microsoft-Stack der Mittelstandsbank

5 Min. Lesezeit

Eine kritische Schwachstelle in der meistgenutzten .NET-Komponente erlaubt Angreifern Privilege Escalation ohne Login. Die Patches gibt es längst, doch wer im Mittelstand bei einem externen Hoster oder ISV liegt, hat keine Hand am Update-Hebel.

Das Wichtigste in Kürze

Remote ohne Auth ausnutzbar: CVE-2026-40372 ist nicht lokal, sondern netzwerkbasiert. Wer ASP.NET Core in einem Kundenportal, einer Partner-API oder einer öffentlich erreichbaren B2B-Anwendung einsetzt, hat ein Direktrisiko, kein Inventar-Risiko.
Mittelstand betrifft mehr Stacks als gedacht: Branchensoftware, Buchhaltungs-Frontends, Logistik-Tracking-Apps und Service-Portale laufen in vielen Häusern auf .NET 6, 7 oder 8. Häufig hosted bei einem Dienstleister, der den Patch-Stand nicht automatisch im Blick hat.
Patch ist verfügbar, Verteilung ist die Frage: Microsoft liefert Updates für .NET 6 LTS, .NET 7 (out-of-support seit Mai 2024) und .NET 8 LTS. Wer noch auf .NET 7 ist, bekommt offiziell keinen Fix – das ist die unangenehmste Konstellation im Mittelstand.

Verwandt:EUDI Wallet ab Pilot-Rollout 2026 / Gartner KI-Spending 2026

Was die Lücke konkret macht

Was ist CVE-2026-40372? CVE-2026-40372 ist eine kritische Schwachstelle in ASP.NET Core, bei der die Verifikation kryptografischer Signaturen unzureichend implementiert ist. Ein Angreifer kann manipulierte Anfragen mit gefälschten oder umgangenen Signaturen senden und damit Berechtigungen erhöhen – ohne sich vorher authentifiziert zu haben. Microsoft bewertet die Lücke mit CVSS 9.1, also kritisch. Sie wurde am 21.04.2026 in der NVD veröffentlicht und betrifft alle aktuell unterstützten .NET-Versionen.

Die genaue Komponente liegt in der Authentifizierungs- und Token-Verifikationsschicht. Anwendungen, die JWT-Tokens, signierte Cookies oder OAuth-Flows nutzen, sind das offensichtliche Ziel. In der Praxis ist das so gut wie jede ASP.NET-Core-Anwendung mit Login. Der Angriff lässt sich über das öffentliche Internet ausführen, sobald der Endpoint erreichbar ist.

CVSS 9.1

Microsoft-eigene Einstufung von CVE-2026-40372 – Kategorie kritisch, ausnutzbar ohne Authentifizierung über das Netzwerk.

Quelle: NVD, 21.04.2026

KERNZAHLEN

62 Prozent

bei KI-Governance

04.202

6 CVE-2026-40372 als kritisch klassifiziert: ein Signatur-Ve

Warum der Mittelstand stärker betroffen ist als die Statistik zeigt

Cloud-Marktstatistiken zeigen ASP.NET als kleineren Anteil im Vergleich zu Java oder Node. In der DACH-Mittelstandspraxis ist das Bild aber anders. Drei Konstellationen kommen häufig vor.

Erstens: Branchensoftware auf .NET-Basis. Viele Lösungen für Handwerk, Logistik, Gesundheit oder Maschinenbau sind als Windows-Stack gewachsen und haben mit ASP.NET Core ein Web-Frontend bekommen. Häufig hosted ein IT-Dienstleister oder Reseller die Anwendung. Wer dort nicht aktiv den Patch-Stand abfragt, bekommt das Update bestenfalls beim nächsten Wartungsfenster.

Zweitens: Eigenentwickelte Kundenportale. Die meisten Mittelstands-Portale für Bestellung, Status-Tracking oder Service-Tickets entstehen mit .NET 6 oder 8, weil im Haus .NET-Know-how vorhanden ist. Diese Eigenentwicklungen werden seltener zentral gepatcht als gekaufte Standardsoftware. Wer keinen klaren Verantwortlichen für Framework-Updates definiert, hat hier eine offene Flanke.

Drittens: Legacy auf .NET 7. Microsoft hat .NET 7 im Mai 2024 aus dem Support genommen. Wer dort hängt, bekommt für CVE-2026-40372 offiziell keinen Patch. Die Realität in vielen Häusern: Das Upgrade auf .NET 8 wurde verschoben, weil andere Prioritäten zogen. Diese Stacks brauchen jetzt eine bewusste Entscheidung – Migration oder kompensierende Kontrollen wie Web Application Firewall mit Signatur-Validierungs-Regeln.

„Microsoft hat am 21.04.2026 CVE-2026-40372 als kritisch klassifiziert: ein Signatur-Verifikationsfehler in ASP.NET Core erlaubt nicht authentifizierten Angreifern eine Privilege Escalation über das Netzwerk.“

Drei Schritte für die kommenden 14 Tage

Erstens: Inventory. Alle Anwendungen identifizieren, die ASP.NET Core nutzen. IT-Dienstleister anschreiben mit der Frage, welche .NET-Version produktiv läuft und ob das Update auf den CVE-2026-40372-Patch eingespielt ist. Wer eigene Hostings hat, prüft per dotnet –version auf dem Server.

Zweitens: Patch-Rollout in priorisierter Reihenfolge. Public-facing Anwendungen zuerst, also alles mit Login von außen erreichbar. Internal-only-Anwendungen danach. Bei .NET 7 hängende Stacks bekommen einen Mitigation-Plan: Migration auf .NET 8 anstoßen, oder WAF-Regel als Übergang.

Drittens: Logging-Check. Anwendungen prüfen, ob Authentifizierungs-Anomalien überhaupt geloggt werden. Wenn ein Angreifer einen Token-Verifikations-Bypass versucht, sollte das im Application-Log auftauchen. Viele Mittelstandsanwendungen loggen erfolgreiche Anmeldungen, aber nicht die fehlgeschlagenen Verifikations-Versuche – das ist die Telemetrie, die jetzt fehlt.

Häufige Fragen

Welche .NET-Versionen sind von CVE-2026-40372 betroffen?

Betroffen sind ASP.NET Core 6.0, 7.0 und 8.0. Microsoft hat Patches für die LTS-Versionen 6 und 8 veröffentlicht. .NET 7 ist seit Mai 2024 aus dem Support, dort gibt es keinen offiziellen Fix mehr. Wer auf .NET 7 hängt, muss migrieren oder kompensieren.

Brauchen wir den Patch, wenn unsere Anwendung nur intern erreichbar ist?

Ja, mit niedrigerer Priorität. Interne Anwendungen sind für Angreifer mit Netzwerk-Foothold trotzdem erreichbar. CVE-2026-40372 ist netzwerkbasiert, das schließt internes Netz mit ein. Public-facing zuerst, internal-only danach, beides aber innerhalb von zwei Wochen.

Reicht eine Web Application Firewall als Übergang?

Nur als Übergangsmaßnahme. Eine WAF mit Regeln zur Signatur-Validierungs-Anomalie kann den Angriff erkennen, wenn die Signatur sichtbar in den Headers oder im Body liegt. Bei tieferen Verifikations-Pfaden in der App-Logik greift die WAF nicht. Patch bleibt der saubere Weg.

Was tun bei einem IT-Dienstleister, der nicht reagiert?

Schriftlich anfragen mit konkretem Datum bis wann der Patch eingespielt wird. Bei kritischen Anwendungen einen Eskalationspfad an die Geschäftsführung des Dienstleisters definieren. Im Vertrag prüfen, ob es eine SLA für Sicherheitspatches gibt – die meisten Standardverträge haben sieben bis 30 Tage Patch-Frist für kritische Schwachstellen.

Welche Indikatoren zeigen einen aktiven Angriff?

Auffällige Authentifizierungs-Logs: viele 401-Antworten gefolgt von einer 200-Antwort am gleichen Endpoint. Tokens, die strukturell korrekt aussehen, aber von unbekannten Issuern stammen. Anfragen mit ungewöhnlich kurzer Token-Lebenszeit. Wer SIEM oder Log-Aggregation hat, baut darauf eine Alert-Regel – Suche nach Mustern, nicht einzelnen Events.

Mehr aus dem MBF Media Netzwerk

Quelle Titelbild: Pexels / Pixabay

Auch verfuegbar inEnglisch · Franzoesisch · Spanisch

Auch verfügbar in

Français Español English

Evernine Media GmbH

Tobias Massow ist Geschäftsführer der Evernine Media GmbH und Herausgeber von MyBusinessFuture. Er verantwortet die strategische Ausrichtung des Magazins und des gesamten MBF Media Netzwerks mit vier B2B-Fachmagazinen für IT-Entscheider im deutschsprachigen Raum.

Davos: Nachhaltigkeit durch Digitalisierung

Das 50. Jubiläum des Weltwirtschaftsforum in Davos Ende Januar 2020 soll ganz im Zeichen von Nachhaltigkeit ... »

Engineering & Industry 23.09.2020

PwC: E-Auto-Kosten für Hersteller vs. Verbrenner-Vergleich

E-Autos sind neu, voller Technik und zukunftsweisend, jedoch immer noch sehr teuer. Das liegt unter ... »

Unsere Experten & Partner