CVE-2025-55241: Falha CVSS 10.0 no Microsoft Entra ID poderia comprometer qualquer tenant Azure

Em setembro de 2025, a Microsoft corrigiu silenciosamente o CVE-2025-55241, uma falha de CVSS 10.0 no Microsoft Entra ID (Azure AD) identificada pelo pesquisador Dirk-jan Mollema. A vulnerabilidade residia no mecanismo de token interno "Actor" utilizado por serviços da Microsoft: um token gerado a partir de um tenant poderia ser aceito pela Azure AD Graph API legada de outro tenant sem validação adequada da origem, quebrando o isolamento entre organizações.

A exploração da falha permitia que um ator com acesso a qualquer tenant Azure se autenticasse como usuário arbitrário em organizações-alvo, potencialmente acessando e-mails, arquivos e aplicações corporativas. A Microsoft declarou não ter encontrado evidências de abuso antes da correção, mas a gravidade máxima do CVSS reflete o impacto potencial universal sobre todos os clientes Azure e Microsoft 365 globalmente.

Não há ação específica necessária para os clientes — a correção foi aplicada pela Microsoft na infraestrutura do serviço. No entanto, o episódio reforça a importância de auditar regularmente os logs de autenticação do Entra ID, habilitando Identity Protection e alertas de logon de localizações incomuns ou de múltiplos tenants.

Fonte: SecurityOnline / Microsoft.