Azure Ad Graph

Uma vulnerabilidade crítica no sistema Microsoft Entra ID foi descoberta, permitindo que cibercriminosos acessassem inquilinos virtuais sem deixar rastros. Identificada pelo especialista Dirk-Jan Mollema, a falha, classificada como CVE-2025-55241, envolvia dois elementos: os Tokens de Autor, que são tokens de autenticação não documentados, e um bug de Elevação de Privilégios. Esses tokens, emitidos por um sistema legado, não eram verificados por controles de segurança comuns, permitindo acesso não autorizado a dados sensíveis e configurações de outras organizações. Mollema demonstrou que, utilizando informações publicamente disponíveis, era possível gerar tokens e acessar ambientes alheios, criando usuários e alterando senhas sem gerar logs. A Microsoft reconheceu a vulnerabilidade em julho de 2025 e lançou patches para corrigi-la em setembro. A falha destaca a importância de descontinuar sistemas obsoletos e reforçar a segurança em serviços amplamente utilizados, como o Azure AD Graph.