Azure

A Microsoft anunciou que, a partir de outubro de 2024, a autenticação multifator (MFA) será obrigatória para todos os acessos ao portal Azure, como parte de um esforço para aumentar a segurança das contas dos usuários. Pesquisas da empresa indicam que a implementação da MFA pode prevenir mais de 99,2% dos ataques de comprometimento de contas, tornando essa medida crucial para a proteção de recursos na nuvem. A primeira fase da implementação exigirá MFA para operações administrativas em portais como o Azure e o Microsoft 365, enquanto a segunda fase, prevista para outubro de 2025, incluirá ferramentas de linha de comando e APIs. Os usuários que já utilizam MFA ou métodos de login sem senha não notarão mudanças, mas aqueles que não configuraram a MFA serão solicitados a fazê-lo ao tentar acessar suas contas. A Microsoft recomenda que as organizações revisem suas políticas de acesso condicional e realizem testes antes da implementação para evitar interrupções. Essa mudança visa reduzir a superfície de ataque e proteger recursos críticos contra acessos não autorizados.

A Microsoft anunciou a implementação de um chip de segurança HSM (Hardware Security Module) integrado em todos os servidores Azure, como parte de uma estratégia para enfrentar o crescente problema do cibercrime, que atualmente gera custos estimados em 10,2 trilhões de dólares por ano, tornando-se a terceira maior economia do mundo. O Azure Integrated HSM, revelado no evento Hot Chips 2025, é projetado para atender aos requisitos de segurança FIPS 140-3 Nível 3, oferecendo resistência a violação e proteção local de chaves dentro dos servidores. Essa abordagem descentraliza as funções criptográficas, reduzindo a latência e permitindo a execução de tarefas como AES e detecção de intrusões de forma local. Além disso, a Microsoft apresentou sua arquitetura ‘Secure by Design’, que inclui o Azure Boost e o Datacenter Secure Control Module, visando aumentar a segurança em ambientes multi-inquilinos. A colaboração com empresas como AMD, Google e Nvidia resultou na Caliptra 2.0, que agora incorpora criptografia pós-quântica, reforçando ainda mais a segurança das operações na nuvem.

Uma vulnerabilidade crítica na arquitetura de Conexão de API do Microsoft Azure permitiu a completa exploração de recursos em múltiplos tenants na nuvem. A falha, descoberta por um pesquisador, foi corrigida pela Microsoft em uma semana após sua divulgação. O problema estava relacionado à infraestrutura compartilhada do Azure, que processa trocas de tokens de autenticação entre aplicações e serviços de backend. A vulnerabilidade permitia que atacantes acessassem serviços conectados, como Azure Key Vaults e bancos de dados, em diferentes tenants. O exploit utilizou um endpoint não documentado chamado DynamicInvoke, que permitia chamadas arbitrárias em Conexões de API, possibilitando acesso administrativo a serviços conectados globalmente. A falha foi classificada como uma séria ameaça, especialmente para organizações que armazenam credenciais sensíveis no Azure Key Vault. A descoberta ressalta os riscos de segurança em arquiteturas de nuvem compartilhadas, onde sistemas multi-tenant podem criar vetores de ataque inesperados.