Dirk-Jan Mollema

**Nome do Software Vulnerável e Versões Afetadas** Microsoft Entra ID (versões afetadas não especificadas) **Descrição** Uma falha crítica no procedimento de autenticação do Microsoft Entra ID (anteriormente Azure Active Directory) permitia que invasores remotos elevassem privilégios e se passassem por qualquer usuário, incluindo Administradores Globais, em todos os tenants globalmente. O problema originou-se de uma combinação de "Actor tokens" não documentados — tokens internos usados para comunicação entre serviços — e um erro de validação na API legada Azure AD Graph. Especificamente, a API não realizava verificações de limite adequadas no tenant de origem, permitindo que um token de um tenant fosse usado para acessar outros. Como esses tokens não eram assinados e ignoravam políticas de segurança como o Acesso Condicional, a exploração poderia ocorrer sem disparar alarmes ou deixar logs acionáveis. Isso poderia levar ao controle total da infraestrutura, incluindo a capacidade de ler perfis de usuários, extrair chaves de recuperação do BitLocker e criar novas contas de Administrador Global. **Recomendações** Auditar todas as contas de Administrador Global criadas durante o período da vulnerabilidade. Rotacionar todas as chaves e certificados críticos. Analisar os logs de acesso em busca de atividades suspeitas. Como medida de mitigação temporária, restringir o acesso à API legada Azure AD Graph para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Microsoft Exchange Server anteriores ao Hot Fix de abril de 2025 **Descrição** Existe uma vulnerabilidade de alta severidade (CVE-2025-53786) em implantações híbridas do Microsoft Exchange Server. Esta vulnerabilidade permite que atacantes com acesso administrativo aos servidores Exchange locais escalem privilégios e potencialmente comprometam ambientes de nuvem. A vulnerabilidade origina-se de um service principal compartilhado utilizado entre as instalações locais e o Exchange Online, permitindo que atacantes forjem tokens confiáveis para acesso à nuvem sem gerar logs. Mais de 29.000 servidores Exchange foram relatados como não corrigidos e vulneráveis. A CISA emitiu uma diretiva de emergência obrigando as agências federais a corrigir a vulnerabilidade até 11 de agosto de 2025. A exploração é considerada provável. **Recomendações** Aplique o Hot Fix de abril de 2025 ou posterior a todas as implantações afetadas do Exchange Server. Implemente as alterações descritas nas orientações de segurança da Microsoft lançadas em 18 de abril de 2025. Para implantações híbridas, reconfigure o aplicativo híbrido para evitar o uso do service principal compartilhado. Redefina as credenciais do service principal. Execute o Exchange Health Checker para verificar a configuração.

**Name of the Vulnerable Software and Affected Versions** Azure Active Directory versions (affected versions not specified) **Description** The issue is related to a security feature bypass, potentially allowing remote attackers to bypass security restrictions. The problem is associated with errors in security settings, specifically in the Active Directory Federation Services (AD FS) of Windows operating systems. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Versões do Windows Autopilot (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma vulnerabilidade de falsificação de identidade no Cliente de Gerenciamento e Inscrição de Dispositivos do Windows Autopilot. Essa vulnerabilidade está associada a erros na representação de informações pela interface do usuário. A exploração desse problema pode permitir que um invasor remoto realize ataques de spoofing ao abrir um arquivo especialmente criado. A vulnerabilidade permite que invasores afetem o sistema. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: DNS integrado ao Active Directory do Windows (ADIDNS) (versões afetadas não especificadas) Descrição: Existe uma vulnerabilidade de execução remota de código devido ao tratamento incorreto de objetos na memória pelo Active Directory Integrated DNS (ADIDNS). Um invasor autenticado poderia explorar essa vulnerabilidade enviando solicitações maliciosas a um servidor ADIDNS, o que poderia permitir a execução de código arbitrário no contexto da conta do sistema local. A vulnerabilidade está relacionada a um estouro de buffer na memória. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: DNS integrado ao Active Directory do Windows (ADIDNS) (versões afetadas não especificadas) Descrição: Existe uma vulnerabilidade de execução remota de código devido a um tratamento incorreto de objetos na memória pelo DNS integrado ao Active Directory (ADIDNS). Um invasor autenticado poderia explorar essa vulnerabilidade enviando solicitações maliciosas a um servidor ADIDNS, o que poderia permitir a execução de código arbitrário no contexto da conta do sistema local. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.