Microsoft Patches Critical Entra ID Flaw Enabling Global Admin Impersonation Across Tenants

Data: 22 de setembro de 2025
CVE: CVE-2025-55241
CVSS: 10.0 (Crítico)

Resumo da Vulnerabilidade

Uma falha crítica de validação de token no Microsoft Entra ID (antigo Azure Active Directory) permitia que atacantes se passassem por qualquer usuário, incluindo Administradores Globais, em qualquer tenant.

Como Funcionava o Ataque

• A vulnerabilidade combinava tokens de serviço-para-serviço (S2S) com uma falha na API legada do Azure AD Graph
• Os tokens não eram validados adequadamente quanto ao tenant de origem, permitindo acesso cruzado entre tenants
• Os atacantes podiam contornar políticas de Acesso Condicional e autenticação multifator (MFA)

Impacto Potencial

• Impersonificação de Administradores Globais em qualquer tenant
• Criação de novas contas e concessão de permissões adicionais
• Exfiltração de dados sensíveis
• Acesso completo a serviços como SharePoint Online e Exchange Online
• Comprometimento total do tenant sem deixar rastros

Status de Correção

• Microsoft corrigiu a vulnerabilidade em 17 de julho de 2025
• Nenhuma ação do cliente foi necessária
• Não há evidências de exploração na natureza
• A API Azure AD Graph foi oficialmente descontinuada em 31 de agosto de 2025

Contexto de Segurança em Nuvem

O artigo também destaca outras vulnerabilidades recentes em ambientes cloud, incluindo:

• Problemas de configuração no Microsoft Intune
• Vulnerabilidades de SSRF no AWS
• Técnicas de persistência em ambientes AWS (AWSDoor)
• Exposição de credenciais do Azure AD em arquivos públicos

Conclusão

A descoberta reforça que configurações inadequadas em ambientes de nuvem podem ter consequências catastróficas, levando a roubo de dados e ataques subsequentes, destacando a importância contínua de práticas robustas de segurança em cloud.