Microsoft hat eine kritische Schwachstelle im Hochleistungs-Webserver Kestrel (ASP.NET Core) geschlossen. Die Lücke trägt die Kennung CVE-2025-55315 und wird mit 9,9 von 10 Punkten (CVSS) bewertet. Der Fehler ermöglicht unter bestimmten Bedingungen HTTP Request Smuggling und kann zu Datenabfluss, Sicherheitsmechanismen-Bypass und Dienstunterbrechungen führen.
Was CVE-2025-55315 in Kestrel so riskant macht
Betroffen ist die HTTP/1.1-Verarbeitung in Kestrel. Laut Microsoft kann ein authentifizierter Angreifer einen zusätzlichen HTTP-Request in einen legitimen Verkehr einschleusen. Dadurch werden sensible Informationen abgegriffen (bis hin zu Kontodaten anderer Nutzer), Inhalte auf dem Server manipuliert oder die Verfügbarkeit beeinträchtigt. Die hohe CVSS-Bewertung reflektiert den kombinierten Schaden für Vertraulichkeit, Integrität und Verfügbarkeit.
Betroffene Produkte und verfügbare Updates
Microsoft stellt Sicherheitsupdates für ASP.NET Core 2.3, ASP.NET Core 8.0 und ASP.NET Core 9.0 sowie für Microsoft Visual Studio 2022 bereit. Für ältere Workloads existiert ein aktualisiertes Paket Microsoft.AspNetCore.Server.Kestrel.Core für ASP.NET Core 2.x. Administrierende sollten die Ziel-Frameworks und Serverpakete zeitnah aktualisieren, Anwendungen neu bauen und erneut ausrollen. In Container-Umgebungen gilt es, Images neu zu erstellen und Basis-Images mit den Anbieter-Repositories zu synchronisieren.
Technischer Hintergrund: HTTP Request Smuggling verständlich erklärt
Request Smuggling entsteht durch unterschiedliche Interpretationen von HTTP-Nachrichten entlang der Kette aus Load Balancer, Reverse Proxy und Backend. Ein klassisches Muster ist das Missverhältnis zwischen Content-Length und Transfer-Encoding. Wird derselbe Byte-Stream von Proxy und Backend verschieden geparst, lässt sich ein zweiter, versteckter Request einschleusen, der später als Teil einer legitimen Anfrage verarbeitet wird. Das öffnet Türen für Session-Hijacking, CSRF-Bypass, SSRF und Injektionsangriffe. Fundierte Darstellungen finden sich bei OWASP und in einschlägiger Forschung zu HTTP/1.1-Parsing-Unterschieden.
Risikodynamik: App-Logik und Infrastruktur als Verstärker
Microsoft betont, dass der tatsächliche Exploiterfolg stark von der Implementierung abhängt. Sicherheitsverantwortliche bewerten die Lücke im Worst-Case, doch die Wahrscheinlichkeit sinkt, wenn pro Request konsistente Prüfungen stattfinden. In der Praxis steigt die Angriffsfläche jedoch mit komplexen Architekturen: Proxy-Ketten, Caching, Multi-Tenancy und API-Gateways können Parsing-Divergenzen verstärken und Schutzmechanismen umgehen, wenn Komponenten uneinheitlich konfiguriert sind.
Sofortmaßnahmen und Härtung für ASP.NET-Core-Umgebungen
1) Patch-Management und Bestandsaufnahme
Unverzüglich patchen: Alle Instanzen von ASP.NET Core/Kestrel aktualisieren, inklusive Build- und CI/CD-Umgebungen. Erstellen Sie ein Inventar von Diensten, die HTTP/1.1 und Reverse Proxies (z. B. NGINX, Apache, Cloud-Load-Balancer) nutzen, und stellen Sie sicher, dass Frontend und Backend konsistent aktualisiert sind.
2) Sichere HTTP-Delivery-Kette
Erzwingen Sie eine Header-Normalisierung und blockieren Sie mehrdeutige Kombinationen aus Content-Length und Transfer-Encoding. Stimmen Sie Keep-Alive-Timeouts und Puffergrößen über alle Komponenten ab. Wo möglich, HTTP-Pipelining einschränken und WAF-Regeln aktivieren, die bekannte HRS-Muster erkennen.
3) Testen, Monitoring, Forensik
Integrieren Sie HTTP Request Smuggling in DAST/SAST-Pipelines und führen Sie regelmäßige Tests auf CL/TE-Inkonsistenzen durch. Erhöhen Sie die Protokollierung in Proxy und Anwendung: Korrelation von Requests, Erkennung ungewöhnlicher Sequenzen sowie auffälliger 4xx/5xx-Cluster in Nähe von Authentifizierungs-Endpunkten. Validieren Sie CSRF-Middleware und Controller-Parameter strikt pro Request.
Die Kombination aus kritischer Bewertung (CVSS 9,9) und der Natur von Request-Smuggling macht das Update für alle ASP.NET-Core-Teams zur Priorität. Selbst wenn die Ausnutzbarkeit für eine einzelne Anwendung gering erscheint, erhöhen Proxies, Caches und komplexe Authentifizierungsflüsse die Angriffsfläche beträchtlich. Unternehmen sollten den Stack umgehend aktualisieren, HTTP-Konfigurationen konsolidieren und HRS-Checks fest in ihre Security-Tests aufnehmen, um Kontoübernahmen, Datenabfluss und Policy-Bypässe wirksam zu reduzieren.
