Falha crítica de validação de token no Microsoft Entra ID
Uma falha crítica de validação de token no Microsoft Entra ID (anteriormente Azure Active Directory) pode ter permitido que atacantes se passassem por qualquer usuário, incluindo Administradores Globais, em qualquer inquilino. A vulnerabilidade, rastreada como CVE-2025-55241, recebeu a pontuação máxima de 10.0 no CVSS e foi classificada pela Microsoft como uma falha de escalonamento de privilégios. Embora não haja indícios de que a falha tenha sido explorada ativamente, ela foi corrigida em 17 de julho de 2025, sem necessidade de ação por parte dos clientes. O problema surgiu da combinação de tokens de ator emitidos pelo Serviço de Controle de Acesso e uma falha na API Graph do Azure AD, que não validava adequadamente o inquilino de origem, permitindo acesso não autorizado entre inquilinos. Isso poderia permitir que um atacante se passasse por um Administrador Global, criando novas contas ou exfiltrando dados sensíveis. A Microsoft já descontinuou a API Graph do Azure AD, recomendando a migração para o Microsoft Graph. A empresa Mitiga alertou que a exploração dessa vulnerabilidade poderia contornar autenticações multifator e deixar poucas evidências do ataque.