Microsoft corrige falhas no Azure
4 de Fevereiro de 2025

A Microsoft liberou patches para corrigir duas falhas de segurança classificadas como Críticas, que afetam o Azure AI Face Service e a Microsoft Account, podendo permitir que um ator malicioso eleve seus privilégios sob certas condições.

As falhas são listadas a seguir:

- CVE-2025-21396 (pontuação CVSS: 7.5) - Vulnerabilidade de Elevação de Privilégio na Microsoft Account.

- CVE-2025-21415 (pontuação CVSS: 9.9) - Vulnerabilidade de Elevação de Privilégio no Azure AI Face Service.

"A burla de autenticação por spoofing no Azure AI Face Service permite que um atacante autorizado eleve privilégios através de uma rede", disse a Microsoft em um comunicado sobre a CVE-2025-21415 , creditando um pesquisador anônimo por reportar a falha.

Por outro lado, a CVE-2025-21396 decorre de um caso de autorização ausente que poderia permitir a um atacante não autorizado elevar privilégios através de uma rede.

Um pesquisador de segurança que usa o alias Sugobet foi reconhecido por descobri-la.

A gigante da tecnologia também observou que está ciente da existência de um código de exploração proof-of-concept (PoC) para a CVE-2025-21415 , acrescentando que ambas as vulnerabilidades foram completamente mitigadas.

As deficiências não requerem nenhuma ação dos clientes.

Os comunicados fazem parte dos esforços contínuos da Microsoft para melhorar a transparência, emitindo CVEs para vulnerabilidades críticas de serviços em nuvem, independentemente de os clientes precisarem instalar um patch ou tomar outras ações para se protegerem.

“À medida que nossa indústria amadurece e migra cada vez mais para serviços baseados em nuvem, devemos ser transparentes sobre vulnerabilidades significativas de cibersegurança que são encontradas e corrigidas”, observou em junho de 2024.

Compartilhando abertamente informações sobre vulnerabilidades que são descobertas e resolvidas, permitimos que a Microsoft e nossos parceiros aprendam e melhorem.

Esse esforço colaborativo contribui para a segurança e resiliência de nossa infraestrutura crítica.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...