Redazione RHC : 19 septiembre 2025 15:47
Microsoft ha solucionado un error crítico que podría haber comprometido gravemente sus entornos de nube: el investigador holandés Dirk-Jan Mollema descubrió dos fallos interconectados en el servicio de gestión de identidades Entra ID (anteriormente Azure Active Directory) que, al combinarse, podrían haber permitido a un atacante obtener derechos de administrador global y tomar el control de cualquier inquilino de Azure.
El primer problema se relacionaba con un mecanismo poco conocido para la emisión de tokens internos, los llamados tokens de actor, utilizados para la autenticación. La segunda vulnerabilidad involucraba una interfaz heredada de Azure AD Graph que verificaba incorrectamente el inquilino del que provenía una solicitud, lo que provocaba que aceptara tokens de otros usuarios.
La combinación de estas limitaciones permitía que una cuenta de prueba solicitara tokens, se otorgara los privilegios de otro usuario y creara un administrador con derechos ilimitados en otro inquilino, con la capacidad de editar la configuración, agregar usuarios y administrar suscripciones y aplicaciones de ID de inicio de sesión. La vulnerabilidad se ha identificado como CVE-2025-55241.
Mollema informó del descubrimiento al Centro de Respuesta de Seguridad de Microsoft el 14 de julio. La compañía inició una investigación de inmediato, implementó una solución en cuestión de días y confirmó una mitigación completa el 23 de julio, con medidas adicionales en agosto.
En comentarios oficiales, representantes de Microsoft citaron cambios en la lógica de validación de tokens y la aceleración del trabajo para desmantelar protocolos heredados como parte de la Iniciativa de Futuro Seguro. Una revisión interna no encontró evidencia de explotación de la vulnerabilidad.
Los expertos enfatizan que las fallas en los proveedores de identidad se encuentran entre las más peligrosas: pueden eludir los mecanismos de acceso condicional, los registros y la autenticación multifactor, abriendo el acceso a todos los servicios vinculados al ID de Entra: Azure, Exchange, SharePoint y otros. Un ejemplo claro es el incidente Storm-0558 de 2023, cuando una clave comprometida permitió a los atacantes generar tokens y acceder a los sistemas de correo en la nube.
A diferencia de incidentes anteriores, esta combinación de fallas solo requirió la manipulación de tipos de tokens internos y una API heredada, lo que facilitó la ejecución del ataque en ciertas circunstancias.
Mollema y Microsoft enfatizan la importancia de desmantelar rápidamente los componentes heredados y auditar continuamente los mecanismos internos de emisión de tokens.El ecosistema de identidad en la nube sigue siendo un centro de confianza para un gran número de organizaciones, y una brecha en sus cimientos supone el riesgo de un impacto generalizado, desde la vulneración de datos hasta la toma total de los servicios gestionados.
RedazioneDos jóvenes involucrados en el grupo Araña Dispersa han sido acusados como parte de la investigación de la Agencia Nacional contra el Crimen sobre un ciberataque a Transport for London (TfL). El 31...
Ya habíamos debatido la propuesta de regulación «ChatControl» hace casi dos años, pero dada la hoja de ruta en curso, nos avergüenza tener que volver a debatirla. Parece un déjà vu, pero en lu...
En un drástico cambio de rumbo, Nepal ha levantado el bloqueo nacional de las redes sociales impuesto la semana pasada después de que provocara protestas masivas de jóvenes y causara al menos 19 mu...
La Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
