A Microsoft eliminou uma vulnerabilidade crítica de segurança com a classificação de risco CVSS mais alta de 10,0 em 10 em seu sistema de gerenciamento de identidade baseado em nuvem Entra ID (Entitlement Management). Os invasores podem abusar da vulnerabilidade para ataques de falsificação.
Leia mais depois do anúncio
A Microsoft publicou um relatório de vulnerabilidade sobre isso. Vulnerabilidade com entrada CVE-2026-35431 (CVSS 10,0risco”crítico“) a empresa foi fechada na última quinta-feira. Trata-se de falsificação de solicitação do lado do servidor (SSRF), que dá aos invasores da rede externa acesso a recursos na área de rede protegida (local). Atores maliciosos não autorizados podem realizar ataques de falsificação.
Faltam detalhes concretos
No entanto, a Microsoft não explicou exatamente como foi o ataque e o que os invasores poderiam ter feito de errado. No entanto, a classificação de risco mais alta indica que é possível comprometer uma rede – e com bastante facilidade.
Segundo a Microsoft, a vulnerabilidade não era anteriormente conhecida publicamente e não havia sido explorada. Os administradores e gerentes de TI não precisam realizar nenhuma ação porque os funcionários da Microsoft corrigiram o problema no servidor.
Não é incomum que a Microsoft feche lacunas de segurança em sistemas em nuvem e proteja automaticamente os clientes. No início de fevereiro, a empresa divulgou vazamentos de segurança na solução de gerenciamento multinuvem Azure Arc, no ambiente de desenvolvimento sem servidor Azure Functions e na rede de entrega de conteúdo (CDN) Azure Front Door. Um também é considerado de risco crítico e dois são considerados de alto risco. Um invasor pode obter direitos de usuário elevados ou obter acesso a informações que estão realmente protegidas.
(dmk)
