“Modo Dios” en la nube: una vulnerabilidad permitía control total de cuentas de Microsoft

La mayoría de las empresas ya han migrado sus infraestructuras a la nube, y es ahí donde confían su seguridad a proveedores externos, como Microsoft.

Sin embargo, un fallo en la nube de Microsoft, antes conocida como Azure Active Directory, podría haber tenido consecuencias catastróficas.

El investigador de seguridad Dirk-jan Mollema descubrió vulnerabilidades que habrían permitido obtener privilegios de administrador global en cualquier tenant, afectando prácticamente a todos los clientes de la nube.

“Me quedé mirando la pantalla y pensé: ‘Esto no debería estar pasando’”, explicó Mollema. “Desde mi propio tenant de prueba, podrías solicitar estos tokens y suplantar básicamente a cualquier usuario de cualquier tenant. Eso significa que podrías modificar configuraciones, crear administradores y hacer lo que quisieras”.

El investigador reportó el fallo al Microsoft Security Response Center el 14 de julio de 2025. Microsoft aplicó una solución global en solo tres días y confirmó que el problema estaba resuelto el 23 de julio, implementando además medidas adicionales en agosto.

Estas vulnerabilidades estaban relacionadas con sistemas antiguos de la nube de Microsoft. La primera afectaba a los Actor Tokens emitidos por el Access Control Service; la segunda involucraba un fallo en la antigua API Azure AD Graph, que no validaba correctamente qué tenant realizaba una solicitud de acceso.

“Microsoft tenía controles de seguridad como acceso condicional y registros, pero este mecanismo de tokens internos los eludía todos. Es la vulnerabilidad más grave que se puede encontrar en un proveedor de identidad, permitiendo comprometer cualquier tenant de cualquier cliente”, comenta Michael Bargury, CTO de Zenity.

Es decir, si un ciberdelincuente hubiera explotado estos fallos, los servicios de Microsoft ligados a la nube, como Azure, SharePoint o Exchange, podrían haber quedado comprometidos

Microsoft tranquiliza a los usuarios asegurando que no se detectó abuso de esta vulnerabilidad antes de su corrección.

Conoce cómo trabajamos en ComputerHoy.

Etiquetas: ciberdelincuentes, Microsoft

¿Tú qué opinas? Cuéntalo aquí:

Hot this week

Don Omar: De la ‘Vaina’ de la Odontología a un Coro Histórico en el Reggaetón

William Omar Landrón Rivera, mejor conocido en el mundo...

Banco Caribe: ¡’Gente de Peso’ Fortalece su Gobierno Corporativo!

¡Atención, gente! El sector financiero dominicano está de boca...

La ‘Vaina’ del Bienestar Social: Prioridad Clave, según Opinio Álvarez

Mira qué 'vaina' más interesante ha soltado el economista...

Tu batería: ¡Un ‘campeón’ que no se agota! Alarga su vida útil con estos trucos

Mi gente, ¿quién no quiere que la batería de...

El ‘Lío Grande’ del Helio: ¿Cómo EE.UU. se Monta en la Ola Geopolítica?

¡Klk con el helio! La situación geopolítica global se...

Temas

spot_img

Related Articles

Categorias Populares

spot_imgspot_img