Falha Crítica: Vulnerabilidade do Entra ID Permite Compromisso de Locatários Globais
2025-09-18
Uma vulnerabilidade crítica no Microsoft Entra ID permite que atacantes comprometam praticamente qualquer locatário globalmente (excluindo implantações de nuvem nacional). Tokens "Actor" não documentados e uma falha na API do Azure AD Graph permitem acesso total. Atacantes podem usar força bruta ou alavancar relações de confiança B2B para obter o netId de um usuário, se passar por administradores e obter controle total, acessando dados confidenciais e modificando as configurações. Nenhum pré-requisito é necessário. A Microsoft corrigiu a vulnerabilidade (CVE-2025-55241), destacando os riscos inerentes ao design do token Actor.
Leia mais
Tecnologia