Cve-2025-55241

Uma vulnerabilidade crítica no sistema Microsoft Entra ID foi descoberta, permitindo que cibercriminosos acessassem inquilinos virtuais sem deixar rastros. Identificada pelo especialista Dirk-Jan Mollema, a falha, classificada como CVE-2025-55241, envolvia dois elementos: os Tokens de Autor, que são tokens de autenticação não documentados, e um bug de Elevação de Privilégios. Esses tokens, emitidos por um sistema legado, não eram verificados por controles de segurança comuns, permitindo acesso não autorizado a dados sensíveis e configurações de outras organizações. Mollema demonstrou que, utilizando informações publicamente disponíveis, era possível gerar tokens e acessar ambientes alheios, criando usuários e alterando senhas sem gerar logs. A Microsoft reconheceu a vulnerabilidade em julho de 2025 e lançou patches para corrigi-la em setembro. A falha destaca a importância de descontinuar sistemas obsoletos e reforçar a segurança em serviços amplamente utilizados, como o Azure AD Graph.

Uma vulnerabilidade crítica, identificada como CVE-2025-55241, foi revelada pelo pesquisador de segurança Dirk-Jan Mollema, permitindo que um único token de acesso obtido de qualquer tenant de teste concedesse controle administrativo total sobre todos os tenants do Microsoft Entra ID (anteriormente Azure AD) globalmente. Essa falha na validação de tokens ‘Actor’ da Microsoft expõe um risco significativo associado à autoridade centralizada em plataformas de nuvem modernas. Um atacante com acesso a uma conta de laboratório poderia se passar por qualquer usuário ou serviço, acessar dados sensíveis, criar novas contas de administrador global e permanecer indetectável, já que todas as ações pareciam legítimas. Embora a Microsoft tenha corrigido a vulnerabilidade, a falha arquitetônica subjacente persiste, destacando a necessidade urgente de arquiteturas de segurança sem autoridade central. A situação ressalta que, apesar dos investimentos significativos em cibersegurança, as brechas podem resultar em danos financeiros imensos, exigindo uma mudança estrutural na forma como a segurança é abordada nas plataformas de nuvem.

Uma falha crítica de validação de token no Microsoft Entra ID (anteriormente Azure Active Directory) pode ter permitido que atacantes se passassem por qualquer usuário, incluindo Administradores Globais, em qualquer inquilino. A vulnerabilidade, rastreada como CVE-2025-55241, recebeu a pontuação máxima de 10.0 no CVSS e foi classificada pela Microsoft como uma falha de escalonamento de privilégios. Embora não haja indícios de que a falha tenha sido explorada ativamente, ela foi corrigida em 17 de julho de 2025, sem necessidade de ação por parte dos clientes. O problema surgiu da combinação de tokens de ator emitidos pelo Serviço de Controle de Acesso e uma falha na API Graph do Azure AD, que não validava adequadamente o inquilino de origem, permitindo acesso não autorizado entre inquilinos. Isso poderia permitir que um atacante se passasse por um Administrador Global, criando novas contas ou exfiltrando dados sensíveis. A Microsoft já descontinuou a API Graph do Azure AD, recomendando a migração para o Microsoft Graph. A empresa Mitiga alertou que a exploração dessa vulnerabilidade poderia contornar autenticações multifator e deixar poucas evidências do ataque.