A Microsoft confirmou a existência de múltiplas vulnerabilidades críticas de segurança, afetando seus principais serviços em nuvem, incluindo um que recebeu a classificação de gravidade máxima do sistema de pontuação de vulnerabilidades comuns (CVSS) de 10,0.
Apesar da natureza crítica dessas falhas, a Microsoft relata que nenhuma das vulnerabilidades confirmadas é conhecida por ter sido explorada na natureza, e nenhuma havia sido divulgada publicamente antes de sua confirmação. É importante ressaltar que os usuários não precisam tomar nenhuma ação para se proteger dessas vulnerabilidades, pois a Microsoft já implementou mitigações.
Um total de quatro vulnerabilidades de segurança em nuvem foram confirmadas pela Microsoft. Isso inclui CVE-2025-29813, uma elevação do Azure DevOps de vulnerabilidade de privilégios com uma classificação CVSS de 10,0; CVE-2025-29972, um provedor de recursos de armazenamento do Azure Spoofing Vulnerability Classificou 9,9; CVE-2025-29827, uma elevação da automação do Azure de vulnerabilidade de privilégios também classificou 9,9; e CVE-2025-47733, um Microsoft Power Apps Information Disclosure Vulnerability com uma classificação de 9,1.
A vulnerabilidade mais grave, CVE-2025-29813, é um problema de seqüestro de token do Azure DevOps. A Microsoft explicou que decorre do Visual Studio lidar incorretamente em tokens de emprego. “Para explorar essa vulnerabilidade”, disse a Microsoft, “um atacante teria que ter acesso ao projeto e trocar o token de curto prazo por um longo prazo”, potencialmente estendendo seu acesso.
CVE-2025-29972, a vulnerabilidade de falsificação do provedor de recursos de armazenamento do Azure, é uma falha de falsificação de solicitação do lado do servidor do Azure. A Microsoft afirmou que isso poderia permitir que um invasor autorizado execute “falsificação” em uma rede, permitindo que um ator de ameaças bem -sucedido distribua solicitações maliciosas que se vejam serviços e usuários legítimos.
A elevação da automação do Azure de vulnerabilidade de privilégios, CVE-2025-29827, se deve a um problema de autorização inadequado na automação do Azure. Uma exploração bem -sucedida pode permitir que um hacker eleva os privilégios em toda a rede.
A quarta vulnerabilidade, CVE-2025-47733, afeta os aplicativos da Microsoft Power e é uma falha de divulgação de informações. Essa vulnerabilidade de falsificação de solicitação do lado do servidor pode permitir que um invasor divulgue informações sobre a rede.
A Microsoft enfatizou que todas essas vulnerabilidades já foram totalmente mitigadas pela empresa. “Essa vulnerabilidade já foi totalmente mitigada pela Microsoft. Não há ação para os usuários deste serviço tomar”, disse a Microsoft sobre cada um dos problemas de segurança em nuvem.
Essas divulgações fazem parte de um compromisso mais amplo com a transparência. Em 27 de junho de 2024, o Microsoft Security Response Center (MSRC) anunciou um compromisso com uma maior transparência em relação às vulnerabilidades e exposições comuns em nuvem (CVEs), detalhando os CVEs de serviço em nuvem depois de remendados internamente.
Anteriormente, observou a Microsoft: “Os provedores de serviços em nuvem se abstiveram de divulgar informações sobre vulnerabilidades encontradas e resolvidas nos serviços em nuvem, a menos que a ação do cliente fosse necessária”. No entanto, com o valor da transparência total agora reconhecida, a Microsoft confirmou: “Emitiremos a CVEs por vulnerabilidades críticas de serviços em nuvem, independentemente de os clientes precisarem instalar um patch ou tomar outras ações para se proteger”.
Essa iniciativa de transparência alinha com a iniciativa futura segura da Microsoft, que prioriza a implementação de novas proteções de identidade, aumentando a transparência e garantindo uma resposta de vulnerabilidade mais rápida. “À medida que nossa indústria amadurece e migra cada vez mais para serviços baseados em nuvem”, afirmou a Microsoft, “devemos ser transparentes sobre vulnerabilidades significativas de segurança cibernética que são encontradas e fixadas”.
O Google também fez um movimento semelhante em direção ao aumento da transparência da vulnerabilidade em nuvem. Em 12 de novembro de 2024, o Google anunciou que expandiria seu programa CVE para emitir CVEs para vulnerabilidades críticas do Google Cloud, mesmo quando nenhuma ação do cliente é necessária. Phil Venables, diretor de segurança da informação do Google Cloud, disse na época: “Transparência e ação compartilhada, para aprender e mitigar classes inteiras de vulnerabilidade, é uma parte vital de combater maus atores”.
Esta história foi publicada originalmente em 9 de maio de 2025 e foi atualizada em 11 de maio de 2025, para incluir mais detalhes sobre os movimentos de transparência da Cloud CVE pela Microsoft e pelo Google.
Source: A Microsoft confirma vulnerabilidades críticas em nuvem; Nenhuma ação necessária
