Opa! Tudo certo? Wellington Agápto por aqui. Hoje eu trouxe para vocês o artigo “Microsoft corrige vulnerabilidade crítica no Entra ID (Antigo Azure AD)”. Acesse o site da Uni Academy (https://uniacademy.com.br/) e conheça todos os meus cursos. Não esqueça de me seguir no Instagram, conhecer meu Site, se inscrever no meu Canal do Youtube, deixar o seu like e compartilhar esse artigo, para fortalecermos a nossa comunidade. Um grande abraço e boa leitura.
Microsoft corrige vulnerabilidade crítica no Entra ID (Antigo Azure AD)
A Microsoft anunciou a correção de uma vulnerabilidade de gravidade máxima em seu serviço de identidade em nuvem, o Microsoft Entra ID — anteriormente conhecido como Azure Active Directory. O problema, registrado como CVE-2025-55241, recebeu a pontuação 10,0 no CVSS, a mais alta da escala, e poderia permitir que invasores se passassem por administradores globais em diferentes locatários (tenants), sem qualquer acesso prévio.
Como a Vulnerabilidade Operava
De acordo com o pesquisador de segurança Dirk-jan Mollema, que reportou a falha em 14 de julho de 2025, o defeito combinava dois elementos:
- Tokens de ator serviço a serviço (S2S) emitidos pelo Access Control Service (ACS).
- Uma falha de validação na API legada do Azure AD Graph.
Essa combinação possibilitava que tokens gerados em um tenant fossem aceitos em outro, rompendo as barreiras de isolamento entre ambientes. Na prática, um agente mal-intencionado poderia criar um token em um ambiente de teste próprio e utilizá-lo para se autenticar como Administrador Global em qualquer outra organização.
Impacto Potencial
O risco era significativo: um invasor bem-sucedido poderia criar contas, alterar permissões, exfiltrar dados confidenciais ou obter acesso a serviços integrados que usam o Entra ID para autenticação, como SharePoint Online, Exchange Online e até recursos de Azure. Especialistas alertam que a falha também permitia contornar autenticação multifator (MFA) e políticas de Acesso Condicional, sem gerar registros de auditoria — o que dificultaria a detecção do ataque.
Correção e Mitigações
A Microsoft liberou a correção em 17 de julho de 2025, sem exigir nenhuma ação por parte dos clientes. A empresa classificou o incidente como um caso de High Privilege Access (HPA), em que um serviço ou aplicativo obtém acesso privilegiado ao conteúdo de outro tenant, podendo se passar por usuários legítimos. Até o momento, não há evidências de exploração em ambientes reais.
Legado do Azure AD Graph e Migração
O incidente reforça a importância de migrar integrações para o Microsoft Graph. A API Azure AD Graph, apontada como um dos fatores de risco, foi oficialmente desativada em 31 de agosto de 2025, após um aviso inicial feito em 2019. Aplicativos que ainda dependem dessa API deixaram de funcionar a partir de setembro.
Outras Descobertas Relacionadas
A falha no Entra ID se soma a uma sequência de vulnerabilidades reportadas em serviços de nuvem. Pesquisadores identificaram, nas últimas semanas:
- Configurações incorretas de certificados no Intune, permitindo ataques a ambientes do Active Directory.
- Exposição de credenciais do Azure AD em arquivos públicos, possibilitando autenticação direta em endpoints OAuth 2.0.
- Ataques de phishing com aplicativos OAuth maliciosos, capazes de extrair chaves de acesso da AWS a partir de contas Microsoft 365 comprometidas.
- Técnicas de falsificação de requisição do lado do servidor (SSRF) que exploram metadados da AWS para obter credenciais temporárias.
Esses incidentes reforçam como configurações inadequadas e APIs legadas continuam sendo vetores relevantes de ameaça em ambientes de nuvem corporativos.
Recomendações para Empresas
Especialistas recomendam:
- Revisar integrações que ainda utilizem a API Azure AD Graph.
- Monitorar com rigor o acesso privilegiado e eventos de autenticação em ambientes Microsoft 365 e Azure.
- Implementar políticas de Zero Trust, reforçando camadas de autenticação e segmentação de permissões.
- Garantir que a migração para Microsoft Graph esteja concluída, eliminando dependências de APIs antigas.
E aí! Curtiu esse artigo? Então não esquece de comentar, deixar o seu like, e compartilhar em suas redes sociais.
Acesso Black!
Todos os meus Cursos em um único lugar.
Clique AQUI e se torne um aluno Black.
Cursos de Especialização
- Microsoft Exchange Online: do zero ao especialista
- Microsoft Intune do básico ao avançado
- Especialista em Microsoft Defender para Office 365
- DLP Para Administradores (Prevenção contra Perda de Dados no Microsoft Purview)
- Acesso Condicional do Microsoft Entra na Prática
- Comunicação e Oratória para o mundo corporativo
- ISO 27001 para Profissionais de TI e Segurança da Informação
Cursos preparatórios para Certificações
Escolha umas das certificações a seguir e seja aprovado em até 4 semanas:
- ITIL 4 Foundation
- SC-200: analista de operações de segurança da Microsoft
- CompTia Security +
- AZ-305: Designing Microsoft Azure Infrastructure Solutions
- SC-100: Microsoft Cybersecurity Architect
- AWS Certified Cloud Practitioner
- AZ-900: Fundamentos do Microsoft Azure
- AZ-104: Administrador do Microsoft Azure
- AZ-500: Segurança no Azure
- MS-900: Fundamentos do Microsoft 365
- MS-102: Administrador do Microsoft 365
- MD-102: Microsoft 365 Endpoint Administrator
- MS-700: Administrador do Microsoft Teams
- SC-900: Segurança no Microsoft 365
- SC-300: Administrador de Acesso e Identidade da Microsoft
Clique AQUI e garanta a sua Vaga!