.png)
há 1 mês
15
Microsoft aumentou para 10.0 a gravidade da vulnerabilidade crítica no Entra ID, antes classificada com score 9.0 no CVSS. O problema, descoberto pelo pesquisador holandês Dirk-Jan Mollema, permitia comprometer praticamente todos os ambientes da solução de identidade em nuvem da empresa, colocando em risco serviços como SharePoint Online, Exchange Online e recursos hospedados no Azure.
Leia também
Parceria com a Think eleva maturidade de SI na Sertrading
Selbetti lança SOC em ampliação de serviços gerenciados
A falha, catalogada como CVE-2025-55241, envolvia dois pontos principais: o uso de tokens de impersonação não documentados (“actor tokens”), empregados pela própria Microsoft em comunicações internas entre serviços, e a validação incorreta no (Legacy) Azure AD Graph API, que possibilitava o uso desses tokens para acessar ambientes de terceiros. Na prática, isso permitia que um token gerado em um laboratório pudesse ser reutilizado para logar como qualquer usuário, inclusive administradores globais, em outros ambientes.
Segundo Mollema, que pesquisa a nuvem da Microsoft há quase sete anos, essa é a vulnerabilidade mais impactante que já encontrou. O pesquisador relatou o problema em 14 de julho, e a Microsoft publicou a correção inicial em 17 de julho, complementada por mitigações adicionais em 6 de agosto. A empresa informou que clientes não precisam adotar medidas adicionais, pois a proteção foi aplicada automaticamente.
No dia 17 de setembro, Mollema publicou os detalhes técnicos da falha. No dia seguinte, a Microsoft reclassificou a complexidade do ataque de “alta” para “baixa”, o que elevou o score final para 10.0, nível máximo de criticidade no CVSS.
English (US) · 
Portuguese (BR) ·