Close Menu
    LO ÚLTIMO
    Suscribete a Telegram
    miércoles, junio 24
    Tecnología

    una vulnerabilidad permitía control total de cuentas de Microsoft

    El copelloBy No hay comentarios2 Mins Read


    La mayoría de las empresas ya han migrado sus infraestructuras a la nube, y es ahí donde confían su seguridad a proveedores externos, como Microsoft.

    Sin embargo, un fallo en la nube de Microsoft, antes conocida como Azure Active Directory, podría haber tenido consecuencias catastróficas.

    El investigador de seguridad Dirk-jan Mollema descubrió vulnerabilidades que habrían permitido obtener privilegios de administrador global en cualquier tenant, afectando prácticamente a todos los clientes de la nube.

    “Me quedé mirando la pantalla y pensé: ‘Esto no debería estar pasando’”, explicó Mollema. “Desde mi propio tenant de prueba, podrías solicitar estos tokens y suplantar básicamente a cualquier usuario de cualquier tenant. Eso significa que podrías modificar configuraciones, crear administradores y hacer lo que quisieras”.

    El investigador reportó el fallo al Microsoft Security Response Center el 14 de julio de 2025. Microsoft aplicó una solución global en solo tres días y confirmó que el problema estaba resuelto el 23 de julio, implementando además medidas adicionales en agosto.

    Estas vulnerabilidades estaban relacionadas con sistemas antiguos de la nube de Microsoft. La primera afectaba a los Actor Tokens emitidos por el Access Control Service; la segunda involucraba un fallo en la antigua API Azure AD Graph, que no validaba correctamente qué tenant realizaba una solicitud de acceso.

    “Microsoft tenía controles de seguridad como acceso condicional y registros, pero este mecanismo de tokens internos los eludía todos. Es la vulnerabilidad más grave que se puede encontrar en un proveedor de identidad, permitiendo comprometer cualquier tenant de cualquier cliente”, comenta Michael Bargury, CTO de Zenity.

    Es decir, si un ciberdelincuente hubiera explotado estos fallos, los servicios de Microsoft ligados a la nube, como Azure, SharePoint o Exchange, podrían haber quedado comprometidos

    Microsoft tranquiliza a los usuarios asegurando que no se detectó abuso de esta vulnerabilidad antes de su corrección.

    Conoce cómo trabajamos en ComputerHoy.

    Etiquetas: ciberdelincuentes, Microsoft



    Google

    Share.

    Related Posts

    Leave A Reply