Redazione RHC : 19 septiembre 2025 15:47
Microsoft ha solucionado un error crítico que podría haber comprometido gravemente sus entornos de nube: el investigador holandés Dirk-Jan Mollema descubrió dos fallos interconectados en el servicio de gestión de identidades Entra ID (anteriormente Azure Active Directory) que, al combinarse, podrían haber permitido a un atacante obtener derechos de administrador global y tomar el control de cualquier inquilino de Azure.
El primer problema se relacionaba con un mecanismo poco conocido para la emisión de tokens internos, los llamados tokens de actor, utilizados para la autenticación. La segunda vulnerabilidad involucraba una interfaz heredada de Azure AD Graph que verificaba incorrectamente el inquilino del que provenía una solicitud, lo que provocaba que aceptara tokens de otros usuarios.
La combinación de estas limitaciones permitía que una cuenta de prueba solicitara tokens, se otorgara los privilegios de otro usuario y creara un administrador con derechos ilimitados en otro inquilino, con la capacidad de editar la configuración, agregar usuarios y administrar suscripciones y aplicaciones de ID de inicio de sesión. La vulnerabilidad se ha identificado como CVE-2025-55241.
Mollema informó del descubrimiento al Centro de Respuesta de Seguridad de Microsoft el 14 de julio. La compañía inició una investigación de inmediato, implementó una solución en cuestión de días y confirmó una mitigación completa el 23 de julio, con medidas adicionales en agosto.
En comentarios oficiales, representantes de Microsoft citaron cambios en la lógica de validación de tokens y la aceleración del trabajo para desmantelar protocolos heredados como parte de la Iniciativa de Futuro Seguro. Una revisión interna no encontró evidencia de explotación de la vulnerabilidad.
Los expertos enfatizan que las fallas en los proveedores de identidad se encuentran entre las más peligrosas: pueden eludir los mecanismos de acceso condicional, los registros y la autenticación multifactor, abriendo el acceso a todos los servicios vinculados al ID de Entra: Azure, Exchange, SharePoint y otros. Un ejemplo claro es el incidente Storm-0558 de 2023, cuando una clave comprometida permitió a los atacantes generar tokens y acceder a los sistemas de correo en la nube.
A diferencia de incidentes anteriores, esta combinación de fallas solo requirió la manipulación de tipos de tokens internos y una API heredada, lo que facilitó la ejecución del ataque en ciertas circunstancias.
Mollema y Microsoft enfatizan la importancia de desmantelar rápidamente los componentes heredados y auditar continuamente los mecanismos internos de emisión de tokens.El ecosistema de identidad en la nube sigue siendo un centro de confianza para un gran número de organizaciones, y una brecha en sus cimientos supone el riesgo de un impacto generalizado, desde la vulneración de datos hasta la toma total de los servicios gestionados.
La semana pasada, Oracle advirtió a sus clientes sobre una vulnerabilidad crítica de día cero en su E-Business Suite (CVE-2025-61882), que permite la ejecución remota de código arbitrario sin aut...
Cuando Nick Turley se unió a OpenAI en 2022 para liderar el equipo de ChatGPT, se le encomendó la tarea de transformar la investigación empresarial en un producto comercial. Ha cumplido esta misió...
Del 6 al 9 de octubre de 2025, Varsovia albergó la 11.ª edición del Desafío Europeo de Ciberseguridad (CECA) . En una reñida competición entre 39 equipos de Estados miembros de la UE, países de...
Un nuevo anuncio publicado en un foro clandestino fue descubierto recientemente por investigadores del laboratorio de inteligencia de amenazas Dark Lab , demostrando claramente cuán activo y peligros...
Tres importantes grupos de ransomware —DragonForce, Qilin y LockBit— han anunciado una alianza. Se trata, en esencia, de un intento de coordinar las actividades de varios operadores importantes de...