Redazione RHC : 19 septiembre 2025 15:47
Microsoft ha solucionado un error crítico que podría haber comprometido gravemente sus entornos de nube: el investigador holandés Dirk-Jan Mollema descubrió dos fallos interconectados en el servicio de gestión de identidades Entra ID (anteriormente Azure Active Directory) que, al combinarse, podrían haber permitido a un atacante obtener derechos de administrador global y tomar el control de cualquier inquilino de Azure.
El primer problema se relacionaba con un mecanismo poco conocido para la emisión de tokens internos, los llamados tokens de actor, utilizados para la autenticación. La segunda vulnerabilidad involucraba una interfaz heredada de Azure AD Graph que verificaba incorrectamente el inquilino del que provenía una solicitud, lo que provocaba que aceptara tokens de otros usuarios.
La combinación de estas limitaciones permitía que una cuenta de prueba solicitara tokens, se otorgara los privilegios de otro usuario y creara un administrador con derechos ilimitados en otro inquilino, con la capacidad de editar la configuración, agregar usuarios y administrar suscripciones y aplicaciones de ID de inicio de sesión. La vulnerabilidad se ha identificado como CVE-2025-55241.
Mollema informó del descubrimiento al Centro de Respuesta de Seguridad de Microsoft el 14 de julio. La compañía inició una investigación de inmediato, implementó una solución en cuestión de días y confirmó una mitigación completa el 23 de julio, con medidas adicionales en agosto.
En comentarios oficiales, representantes de Microsoft citaron cambios en la lógica de validación de tokens y la aceleración del trabajo para desmantelar protocolos heredados como parte de la Iniciativa de Futuro Seguro. Una revisión interna no encontró evidencia de explotación de la vulnerabilidad.
Los expertos enfatizan que las fallas en los proveedores de identidad se encuentran entre las más peligrosas: pueden eludir los mecanismos de acceso condicional, los registros y la autenticación multifactor, abriendo el acceso a todos los servicios vinculados al ID de Entra: Azure, Exchange, SharePoint y otros. Un ejemplo claro es el incidente Storm-0558 de 2023, cuando una clave comprometida permitió a los atacantes generar tokens y acceder a los sistemas de correo en la nube.
A diferencia de incidentes anteriores, esta combinación de fallas solo requirió la manipulación de tipos de tokens internos y una API heredada, lo que facilitó la ejecución del ataque en ciertas circunstancias.
Mollema y Microsoft enfatizan la importancia de desmantelar rápidamente los componentes heredados y auditar continuamente los mecanismos internos de emisión de tokens.El ecosistema de identidad en la nube sigue siendo un centro de confianza para un gran número de organizaciones, y una brecha en sus cimientos supone el riesgo de un impacto generalizado, desde la vulneración de datos hasta la toma total de los servicios gestionados.
RedazioneUn comando de servicio casi olvidado ha vuelto a cobrar protagonismo tras ser detectado en nuevos patrones de infección de dispositivos Windows. Considerado durante décadas una reliquia de los inici...
En el porche de una vieja cabaña en Colorado, Mark Gubrud , de 67 años, mira distraídamente el anochecer distante, con su teléfono a su lado y la pantalla todavía en una aplicación de noticias. ...
El trabajo remoto ha dado libertad a los empleados , pero con él también ha llegado la vigilancia digital . Ya comentamos esto hace tiempo en un artículo donde informamos que estas herramientas de ...
La empresa israelí NSO Group apeló un fallo de un tribunal federal de California que le prohíbe utilizar la infraestructura de WhatsApp para distribuir su software de vigilancia Pegasus. El caso, q...
Se ha identificado una vulnerabilidad de omisión de autenticación en Azure Bastion (descubierta por RHC gracias a la monitorización constante de CVE críticos en nuestro portal), el servicio gestio...
