CVE-2025-49012

Nome do Software Vulnerável e Versões Afetadas Versões do Himmelblau de 0.9.0 a 0.9.14 Versão 1.00-alpha do Himmelblau

Descrição O Himmelblau é uma suíte de interoperabilidade para o Microsoft Azure Entra ID e o Intune. O problema ocorre quando as restrições de acesso baseadas em grupo do Entra ID são configuradas usando nomes de exibição do grupo em vez de IDs de objeto. Isso permite que um usuário crie um grupo pessoal com o mesmo nome de um grupo de acesso legítimo, adicione-se a si mesmo a ele e receba direitos de autenticação ou sudo pelo Himmelblau. O problema ocorre porque as versões afetadas do Himmelblau comparam nomes de grupo seja por displayName ou pelo objectId imutável, permitindo contornar mecanismos de controle de acesso destinados a restringir o login a membros de grupos oficiais, gerenciados centralmente.

Recomendações Para as versões do Himmelblau de 0.9.0 a 0.9.14, substitua todas as entradas em pam allow groups pelo objectId do(s) grupo(s) de destino do Entra ID para mitigar o problema. Para a versão 1.00-alpha do Himmelblau, substitua todas as entradas em pam allow groups pelo objectId do(s) grupo(s) de destino do Entra ID para mitigar o problema. Como medida geral de mitigação, audite seu tenant em busca de grupos com nomes de exibição duplicados usando a Microsoft Graph API. Atualize para a versão 0.9.15 ou posterior do Himmelblau, onde a correspondência de nome de grupo em pam allow groups foi descontinuada e removida, e apenas objectId(s) de grupo (GUIDs) podem ser especificados para filtragem segura baseada em grupo.