Relíquia Digital Quase Causa Apocalipse na Nuvem da Microsoft

Em uma descoberta que fez administradores de sistema de todo o mundo prenderem a respiração, o pesquisador de segurança Dirk-jan Mollema revelou uma combinação de vulnerabilidades no Microsoft Entra ID (o serviço que muitos ainda conhecem pelo seu antigo nome, Azure Active Directory). A falha, registrada como CVE-2025-55241, era tão séria que poderia ter permitido a um invasor obter acesso de Administrador Global a praticamente qualquer empresa no planeta que utiliza os serviços da Microsoft, tudo isso sem deixar rastros significativos. Felizmente, a Microsoft agiu rápido e a brecha já foi fechada.

A notícia, divulgada em detalhes pelo portal BleepingComputer, expõe como a mistura de um componente legado e uma API em processo de descontinuação criou o cenário perfeito para um ataque devastador. Para entender a gravidade, é preciso lembrar que o Entra ID é o coração da gestão de identidade e acesso da Microsoft, controlando quem pode acessar o quê em serviços como Microsoft 365, Salesforce, Dropbox e inúmeras outras aplicações na nuvem e locais. Um acesso de Administrador Global significa ter as chaves do reino digital de uma organização.

O Fantasma no Sistema: Os 'Actor Tokens'

No centro desta história está um artefato digital que, segundo o próprio Mollema, "nunca deveria ter existido": os chamados "Actor Tokens". O pesquisador, fundador da empresa de segurança ofensiva Outsider Security, encontrou esses tokens enquanto investigava configurações híbridas do Exchange. Emitidos por um serviço antigo chamado Access Control Service, esses tokens foram projetados para permitir que um serviço, como o Exchange Online, "aja" em nome de um usuário ao se comunicar com outros sistemas.

O problema, como detalhado por Mollema em seu blog técnico, é que esses tokens eram uma anomalia de segurança com características assustadoras:

  • Não eram assinados: Isso significa que podiam ser criados para se passar por qualquer usuário dentro de um ambiente (ou tenant) sem validação criptográfica.
  • Validade de 24 horas: Uma vez emitido, o token era válido por um dia inteiro.
  • Impossível de revogar: Durante essas 24 horas, não havia como invalidar um token comprometido.
  • Bypass de segurança: Eles ignoravam completamente quaisquer restrições de Acesso Condicional, uma das principais camadas de defesa do Entra ID.
  • Invisibilidade quase total: A emissão e o uso desses tokens não geravam logs no Entra ID, tornando a detecção de um abuso extremamente difícil. A única chance de registro seria nos logs do serviço que recebia o token.

Essencialmente, era um passe livre com superpoderes, emitido nas sombras do sistema. A Microsoft, segundo o pesquisador, utiliza esses tokens internamente para comunicação entre serviços e já planeja removê-los.

A Combinação Perfeita para o Desastre

Ter um token poderoso e invisível é ruim, mas a vulnerabilidade se tornou catastrófica quando Mollema descobriu como usá-lo para pular de um ambiente para outro. O segundo elemento da falha estava na interface Azure AD Graph, uma API que a Microsoft já está em processo de aposentar.

Durante seus testes, o pesquisador pegou um "Actor Token" gerado em um ambiente sob seu controle, alterou o ID do tenant para o de uma organização completamente diferente e o enviou para a API Azure AD Graph. A expectativa era receber uma mensagem de "acesso negado". Para sua surpresa, o erro retornado indicava que o token era válido, mas o usuário especificado não existia no tenant de destino. Era a confirmação que ele precisava: a porta estava aberta.

Ao tentar novamente, desta vez com a identidade de um usuário válido do tenant alvo, a API retornou os dados solicitados. Como relatado pelo BleepingComputer, Mollema confirmou que podia acessar dados em outros tenants, precisando apenas saber o ID do tenant (que é uma informação pública) e o `netId` de um usuário lá dentro.

Receita para o Sequestro Digital (Sem Deixar Rastros)

Com a porta aberta, o caminho para o controle total era direto e assustadoramente simples. Um invasor poderia:

  1. Gerar um "Actor Token" em um tenant sob seu controle.
  2. Encontrar o ID do tenant da empresa alvo usando APIs públicas.
  3. Obter o `netId` de um usuário comum no tenant alvo.
  4. Criar um token de representação usando o "Actor Token" e os dados do alvo.
  5. Usar esse acesso inicial para listar os Administradores Globais e seus `netIds`.
  6. Criar um novo token de representação, desta vez se passando por um Administrador Global.
  7. A partir daí, executar qualquer ação: criar usuários, redefinir senhas, modificar configurações, etc.

O mais alarmante, como Mollema destacou, é que todas as etapas para obter os privilégios de Administrador Global não gerariam nenhum log no ambiente da vítima. Apenas as ações realizadas *após* a tomada de controle seriam registradas, deixando os defensores sem qualquer pista sobre como a invasão original ocorreu.

Um Alerta do Passado para o Futuro da Nuvem

A boa notícia é que esse pesadelo não se concretizou. Mollema reportou suas descobertas à Microsoft em 14 de julho, e a empresa confirmou a resolução do problema nove dias depois. Em 4 de setembro, a falha foi oficialmente registrada como CVE-2025-55241 e classificada como uma vulnerabilidade crítica de escalonamento de privilégios.

Este episódio serve como um poderoso lembrete de que, mesmo nas arquiteturas de nuvem mais modernas, componentes legados e APIs antigas podem esconder perigos capazes de comprometer todo o ecossistema. É uma lição de arqueologia digital: às vezes, as relíquias que esquecemos enterradas no código são as que guardam os maiores riscos.