Vulnerabilidade Crítica no Azure Permite Acesso de Administrador Global
O pesquisador de segurança Dirk-jan Mollema descobriu duas vulnerabilidades críticas no Microsoft Azure Entra ID (anteriormente Azure Active Directory) que poderiam ter concedido privilégios de administrador global a todas as contas de clientes do Azure. Essas vulnerabilidades envolviam sistemas legados dentro do Entra ID, incluindo tokens de autenticação do Azure chamados "Actor Tokens" e uma API desatualizada chamada "Graph". Mollema relatou as falhas à Microsoft em 14 de julho, e a Microsoft lançou uma correção global em 17 de julho. A Microsoft declarou que não encontrou evidências de abuso. Isso destaca desafios de segurança significativos, mesmo para grandes provedores de nuvem, e sublinha a importância de atualizações oportunas e migração para protocolos de segurança modernos.