Recentemente, a Microsoft confirmou a existência de múltiplas vulnerabilidades críticas em seus serviços de nuvem, algumas das quais atingiram a pontuação máxima de 10 no sistema de classificação de severidade de vulnerabilidades. Essas falhas de segurança, embora não tenham sido exploradas até o momento, representam um risco significativo para os serviços em nuvem da empresa. Felizmente, a Microsoft já tomou medidas para mitigar essas vulnerabilidades, garantindo que os usuários não precisem realizar nenhuma ação adicional para proteger seus ambientes.
Entre as vulnerabilidades identificadas, quatro se destacam por sua gravidade. Uma delas, relacionada ao Azure DevOps, atingiu a classificação crítica de 10.0, enquanto outras duas foram classificadas com 9.9. A última, embora menos severa, ainda é considerada crítica, com uma classificação de 9.1. Vamos explorar cada uma dessas vulnerabilidades em mais detalhes.
Quais são as vulnerabilidades críticas identificadas?
A Microsoft identificou quatro vulnerabilidades principais que afetam seus serviços de nuvem. A seguir, estão os detalhes de cada uma delas:
- CVE-2025-29813: Esta vulnerabilidade no Azure DevOps permite a elevação de privilégios devido ao manuseio inadequado de tokens de trabalho do pipeline pelo Visual Studio. Um invasor poderia potencialmente trocar um token de curto prazo por um de longo prazo, ganhando o estendido a um projeto.
- CVE-2025-29972: Esta falha no Azure Storage Resource Provider é uma vulnerabilidade de falsificação de solicitação do lado do servidor, permitindo que um invasor autorizado execute “spoofing” na rede, imitando serviços e usuários legítimos.
- CVE-2025-29827: Outra vulnerabilidade de elevação de privilégios, desta vez no Azure Automation, que permite a um invasor aumentar privilégios na rede devido a um problema de autorização inadequada.
- CVE-2025-47733: Esta vulnerabilidade no Microsoft Power Apps permite a divulgação de informações através da rede, sendo mais uma falha de falsificação de solicitação do lado do servidor.
Como a Microsoft está lidando com essas vulnerabilidades?
A boa notícia é que a Microsoft já mitigou todas essas vulnerabilidades, não sendo necessário que os usuários realizem atualizações ou instalações de patches. A empresa enfatiza seu compromisso com a transparência, fornecendo informações detalhadas sobre vulnerabilidades em seus serviços de nuvem assim que são corrigidas internamente. Isso representa uma mudança significativa em relação ao ado, quando os provedores de serviços em nuvem evitavam divulgar informações sobre vulnerabilidades resolvidas, a menos que fosse necessária uma ação do cliente.
Por que a transparência é importante na segurança da nuvem?
A transparência na divulgação de vulnerabilidades é crucial para manter a confiança dos usuários e garantir a segurança dos serviços em nuvem. Ao informar os clientes sobre as vulnerabilidades e as medidas tomadas para mitigá-las, a Microsoft demonstra seu compromisso com a segurança e a proteção dos dados dos usuários. Essa abordagem proativa ajuda a prevenir possíveis explorações e a manter a integridade dos serviços em nuvem.
O que os usuários devem fazer agora?
Embora não seja necessária nenhuma ação por parte dos usuários, é sempre recomendável que as organizações permaneçam vigilantes e sigam as melhores práticas de segurança. Isso inclui monitorar regularmente seus ambientes de nuvem, revisar políticas de segurança e garantir que todos os sistemas estejam atualizados com as últimas proteções disponíveis. A colaboração contínua entre provedores de serviços e usuários é essencial para enfrentar os desafios de segurança na era digital.
