Microsoft schließt kritische Lücke in .NET und ASP.NET Core

Microsoft hat eine kritische Sicherheitslücke in .NET und ASP.NET Core geschlossen. Das Update vom Februar 2026 verhindert, dass Angreifer Sicherheitsfunktionen umgehen können. Unternehmen müssen die Patches sofort einspielen.

Was die Sicherheitslücke bedeutet

Die Schwachstelle mit der Kennung CVE-2026-21218 ist eine sogenannte Spoofing- oder Sicherheitsfunktionsumgehung. Sie betrifft eine breite Palette von .NET-Anwendungen, besonders Webanwendungen, die mit dem ASP.NET Core-Framework entwickelt wurden. Ein Angreifer könnte dadurch potenziell auf nicht autorisierte Daten zugreifen, Anwendungslogik manipulieren oder Dienstblockierungen verursachen.

Microsoft hat zwar noch keine aktiven Angriffe mit dieser spezifischen Lücke beobachtet. Die öffentliche Bekanntgabe erhöht jedoch das Risiko erheblich. Sicherheitsexperten warnen: Solche Umgehungsfehler können als Einstiegspunkt für komplexere Attacken dienen. Eine schnelle Installation des Updates ist daher für Entwickler und Administratoren weltweit oberste Priorität.

So müssen Unternehmen jetzt handeln

Das Update wurde am 10. Februar 2026 als Teil der monatlichen „Patch Tuesday“-Updates veröffentlicht. Es korrigiert, wie die .NET-Laufzeitumgebung bestimmte Webanfragen verarbeitet. Für eine wirksame Absicherung reicht eine reine Installation aber nicht aus.

Patches sind ein wichtiger erster Schritt – aber wie stellen IT‑Teams sicher, dass ihre .NET‑Umgebungen wirklich geschützt sind? Ein kostenloses E‑Book erklärt praxisnah, welche Maßnahmen jetzt dringend nötig sind: von Laufzeitschutz und Proxy‑Härtung bis zu proaktiver Bedrohungserkennung und Testverfahren für Deployments. Ideal für Entwickler, Administratoren und Entscheider, die Sicherheitslücken nachhaltig schließen wollen. Jetzt kostenloses Cyber-Security-E-Book herunterladen

Anwendungen müssen nach dem Update neu gestartet werden. Selbstständige Anwendungen, die auf anfällige Versionen abzielen, müssen zudem mit dem neuesten SDK neu kompiliert und erneut bereitgestellt werden. Microsoft empfiehlt, die Patches in allen relevanten Umgebungen zu priorisieren und Anwendungen gründlich zu testen, um Kompatibilitätsprobleme auszuschließen.

Der Februar-Release behebt insgesamt 59 Schwachstellen im Microsoft-Ökosystem, von denen einige bereits aktiv ausgenutzt werden. Dies unterstreicht die angespannte Bedrohungslage.

.NET: Eine Geschichte von Sicherheitsupdates

Dies ist nicht der erste kritische Fehler im beliebten Webframework. Bereits 2020 ermöglichte die Lücke CVE-2020-1045 die Umgehung von Sicherheitsmaßnahmen über speziell codierte Cookies. Ende 2025 sorgte mit CVE-2025-55315 eine gravierende HTTP-Request-Smuggling-Lücke im Kestrel-Webserver für Aufsehen. Sie erhielt einen CVSS-Score von 9,9 und hätte zu Rechteausweitung und anderen Angriffen führen können.

Diese Vorfälle zeigen den anhaltenden Kampf gegen ausgefeilte Cyberbedrohungen. Sie belegen aber auch Microsofts kontinuierliches Engagement für die Sicherheit der Plattform.

Geteilte Verantwortung für die Sicherheit

Die Entdeckung der neuen Lücke erinnert an das Modell der geteilten Verantwortung in der Cloud-Sicherheit. Microsoft stellt das Framework und die Patches bereit – die Pflicht zur zeitnahen Installation liegt bei den Nutzern.

Sicherheitsteams sollten zusätzlich ihre Proxy-Konfigurationen überprüfen. Diese können so eingerichtet werden, dass sie Anfragen normalisieren und Schmuggel- oder Spoofing-Versuche erkennen. Für ältere, nicht mehr unterstützte .NET-Versionen gibt es keinen offiziellen Patch. Hier bleibt nur der Umstieg auf eine unterstützte Version oder der Rückgriff auf Drittanbieter-Support.

Die regelmäßigen Sicherheitsupdates zeigen die dynamische Natur der IT-Sicherheit. Für Entwickler bedeutet das: eine Sicherheit-zuerst-Mentalität, ständige Information über neue Advisorys und die Integration regelmäßiger Updates in den Entwicklungslebenszyklus. Der Fokus der Branche wird voraussichtlich weiter auf Laufzeitschutz und proaktiver Bedrohungserkennung im .NET-Ökosystem liegen.

@ boerse-global.de

Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.