Vulnerabilidade no Entra ID da Microsoft poderia permitir acesso a todas as contas do Azure

O pesquisador de segurança Dirk-jan Mollema identificou duas vulnerabilidades na plataforma de gerenciamento de identidade e acesso da Microsoft, Entra ID, anteriormente conhecida como Azure Active Directory.

Segundo ele, essas falhas poderiam ter sido exploradas para obter privilégios de administrador global e comprometer todos os diretórios do Entra ID, também chamados de tenants, expondo potencialmente quase todos os locatários da plataforma, exceto possivelmente a infraestrutura de nuvem governamental.

A primeira vulnerabilidade envolve os chamados Actor Tokens, emitidos por um componente do Azure denominado Serviço de Controle de Acesso. Mollema percebeu que determinadas propriedades desses tokens poderiam ser exploradas por invasores quando combinadas com a segunda falha, presente na interface Azure AD Graph, usada para acesso a dados do Microsoft 365. A falha permitia que a API aceitasse um Actor Token de um locatário diferente, que deveria ter sido rejeitado.

A Microsoft já corrigiu as vulnerabilidades e registrou o problema sob o código CVE-2025-55241.