Microsoft Mitiga Falhas Críticas no Azure e Power Apps
A Microsoft corrigiu quatro vulnerabilidades críticas que impactavam seus serviços em nuvem, incluindo Azure DevOps, Azure Automation, Azure Storage e Power Apps. Dentre elas, destacamos a falha identificada como CVE-2025-29813, que recebeu a máxima pontuação de gravidade no Sistema de Avaliação de Vulnerabilidades Comum (CVSS), com 10 sobre 10, evidenciando a gravidade da situação.
A vulnerabilidade em questão afetava diretamente o Visual Studio e sua gestão de tokens de execução em projetos no Azure DevOps, permitindo que um atacante com acesso limitado pudesse trocar um token temporário por um de longa duração. Isso possibilitava o acesso persistente ao projeto comprometido, facilitando a elevação de privilégios.
Além da CVE-2025-29813, a Microsoft também anunciou outras três falhas críticas:
-
CVE-2025-29827 (CVSS 9.9): Um problema de autorização em Azure Automation poderia permitir que usuários autenticados aumentassem seus privilégios em ambientes multiusuários, comprometendo runbooks e processos automatizados.
-
CVE-2025-29972 (CVSS 9.9): Uma falha de server-side request forgery (SSRF) no serviço Azure Storage Resource Provider, que permitia a suplantação de serviços internos.
- CVE-2025-47733 (CVSS 9.1): Outro SSRF que impactava o Microsoft Power Apps, permitindo a exfiltração de informações sem necessidade de autenticação.
Conforme informado pela empresa, nenhuma dessas vulnerabilidades foi explorada ativamente e todas já foram mitigadas no lado do fornecedor, sem necessidade de ações imediatas por parte dos usuários.
Especialistas em cibersegurança recomendam uma série de boas práticas, como revisar registros de atividade, aplicar rigorosamente o princípio do mínimo privilégio e monitorar alertas de ferramentas de segurança. A situação reafirma os riscos associados aos ambientes multi-tenant na nuvem, onde múltiplos clientes compartilham a mesma infraestrutura.
Microsoft, alinhada com sua iniciativa “Secure Future”, tem reforçado seu compromisso com a transparência na divulgação de vulnerabilidades, adotando a prática de publicar identificadores CVE, promovendo uma cultura de segurança proativa. Esse movimento é reflexo de uma mudança significativa na indústria, onde as empresas buscam melhorar a preparação defensiva do ecossistema digital, compartilhando informações de forma mais aberta e eficaz.
Fontes: MITRE CVE, Microsoft Security Response Center, Forbes, Hispasec Uma al Día.
