A Microsoft corrigiu uma vulnerabilidade de ID de entrada que permitia a representação de administrador global

A Microsoft corrigiu uma vulnerabilidade crítica de segurança no Azure Entra ID, identificada como CVE-2025-55241 , que foi inicialmente descrita como um bug de escalonamento de privilégios de baixo impacto. Pesquisas de segurança posteriormente revelaram que a falha era muito mais grave, permitindo que invasores se passassem por qualquer usuário, incluindo Administradores Globais.

A vulnerabilidade foi identificada originalmente pelo pesquisador de segurança cibernética Dirk-Jan Mollema enquanto se preparava para as apresentações na Black Hat e na DEF CON no início deste ano. Suas descobertas mostraram que "tokens de ator" não documentados, combinados com uma falha de validação na API Graph do Azure AD legada, poderiam ser usados ​​para representar qualquer usuário em qualquer locatário do Entra ID, até mesmo um Administrador Global.

Isso significava que um token gerado em um locatário de laboratório poderia conceder controle administrativo sobre outros, sem alertas ou registros se apenas dados fossem lidos, e rastros limitados se modificações fossem feitas.

O design dos tokens de Ator, segundo Mollema, agravou ainda mais o problema. Esses tokens são emitidos para comunicação entre serviços de back-end e ignoram proteções de segurança comuns, como o Acesso Condicional. Uma vez obtidos, eles permitiam a personificação de outras identidades por 24 horas, durante as quais não era possível revogação.

Aplicativos da Microsoft poderiam gerá-los com direitos de representação, mas aplicativos que não fossem da Microsoft teriam esse privilégio negado. Como a API Graph do Azure AD não possuía registro em log, os administradores não conseguiam ver quando invasores acessavam dados de usuários, grupos, funções, configurações de locatários, entidades de serviço, chaves do BitLocker, políticas, etc.

Em sua publicação técnica detalhada no blog , Mollema demonstrou que a personificação funcionava em todos os locatários porque a API Graph do Azure AD não conseguiu validar o locatário de origem do token. Ao alterar o ID do locatário e direcionar um identificador de usuário conhecido (netId), ele conseguiu migrar do seu próprio locatário para qualquer outro.

Com um netId válido de um Administrador Global, a porta se abria para a aquisição total do Microsoft 365, das assinaturas do Azure e dos serviços conectados. Pior ainda, os netIds podiam ser rapidamente obtidos por força bruta ou, em alguns casos, recuperados de atributos de contas de convidados em colaborações entre locatários.

A Microsoft lançou uma correção global em 17 de julho, apenas três dias após o relatório inicial, e posteriormente adicionou outras medidas de mitigação que impedem que aplicativos solicitem tokens de Actor para o Azure AD Graph. A empresa afirmou que não encontrou nenhuma evidência de exploração em sua telemetria interna. Em 4 de setembro, a vulnerabilidade foi oficialmente catalogada como CVE-2025-55241.

No entanto, profissionais de segurança afirmam que o problema expõe preocupações mais amplas sobre a confiança em sistemas de identidade em nuvem. Anders Askasan , Diretor de Produto da Radiant Logic, argumentou que "este incidente mostra como recursos de identidade não documentados podem contornar silenciosamente o Zero Trust ".

“ Os tokens de ator criaram uma backdoor oculta, sem políticas, sem registros, sem visibilidade, minando a própria base da confiança na nuvem. A conclusão é clara: aplicar patches posteriormente aos fornecedores simplesmente não é suficiente”, acrescentou.

“ Para reduzir o risco sistêmico, as empresas precisam de observabilidade independente em toda a sua estrutura de identidade, correlacionando continuamente contas, direitos e políticas ” , aconselhou. “As organizações precisam de uma visão confiável e independente de fornecedores de seus dados e controles de identidade, para que possam validar em tempo real e agir antes que uma incursão adversária se transforme em uma violação quase impossível de ser desfeita.”