A Microsoft anunciou a correção de uma falha crítica no Azure Active Directory, atualmente renomeado como Entra ID, que permitia a invasores se passarem por qualquer usuário inclusive administradores globais em instâncias diferentes do serviço. A vulnerabilidade, identificada como CVE-2025-55241, recebeu a pontuação máxima de gravidade (CVSS 10.0).
O problema foi descoberto pelo pesquisador Dirk jan Mollema e reside em como o serviço tratava tokens de acesso legados, combinando o uso de actor tokens com uma falha de validação no antigo Azure AD Graph API. Essa combinação permitia a um atacante utilizar um token de uma instância para assumir identidade em outra, ultrapassando limites entre tenants. A falha colocava em risco dados sensíveis armazenados no serviço de identidade da Microsoft, como perfis de usuários, permissões administrativas, dispositivos cadastrados, configurações de aplicativos e até chaves de recuperação do BitLocker.
Com privilégios elevados, um invasor poderia manipular usuários, acessar recursos restritos ou comprometer completamente o ambiente da vítima. A vulnerabilidade foi reportada à Microsoft em 14 de julho de 2025 e corrigida em 17 de julho. Segundo a empresa, a correção foi aplicada automaticamente e não exige ação dos administradores. Apesar da gravidade, não há evidências de exploração ativa da falha antes da correção.
