Vulnerabilidade Crítica God Mode Permite Acesso Irrestrito a Tenants da Microsoft
Uma vulnerabilidade crítica, identificada como CVE-2025-55241, foi revelada pelo pesquisador de segurança Dirk-Jan Mollema, permitindo que um único token de acesso obtido de qualquer tenant de teste concedesse controle administrativo total sobre todos os tenants do Microsoft Entra ID (anteriormente Azure AD) globalmente. Essa falha na validação de tokens ‘Actor’ da Microsoft expõe um risco significativo associado à autoridade centralizada em plataformas de nuvem modernas. Um atacante com acesso a uma conta de laboratório poderia se passar por qualquer usuário ou serviço, acessar dados sensíveis, criar novas contas de administrador global e permanecer indetectável, já que todas as ações pareciam legítimas. Embora a Microsoft tenha corrigido a vulnerabilidade, a falha arquitetônica subjacente persiste, destacando a necessidade urgente de arquiteturas de segurança sem autoridade central. A situação ressalta que, apesar dos investimentos significativos em cibersegurança, as brechas podem resultar em danos financeiros imensos, exigindo uma mudança estrutural na forma como a segurança é abordada nas plataformas de nuvem.