Vulnerabilidade no gerenciamento de API do Azure permite que invasores criem contas entre locatários – Against Invaders

Vulnerabilidade no gerenciamento de API do Azure permite que invasores criem contas entre locatários - Against Invaders

Uma falha crítica de segurança no Portal do Desenvolvedor de Gerenciamento de API do Azure permite que os invasores contornem os controles do administrador e registrem contas em vários locatários, mesmo quando a inscrição do usuário tiver sido explicitamente desativada.

A vulnerabilidade permanece sem correção como Microsoft considera que funciona “por design”.

A Vulnerabilidade

O pesquisador de segurança Mihalis Haatainen, da empresa finlandesa de segurança cibernética Bountyy Oy, descobriu a falha que afeta as instâncias do Azure APIM Developer Portal configuradas com autenticação básica.

A vulnerabilidade permite que invasores criem contas não autorizadas em qualquer instância APIM com autenticação básica habilitada, independentemente de os administradores terem desabilitado o registro de usuários por meio da interface do portal.

A causa raiz decorre de duas questões críticas. Em primeiro lugar, desligar a inscrição na UI do Portal do Azure apenas oculta o formulário de registo, deixando o ponto final da API de inscrição subjacente totalmente funcional.

Em segundo lugar, a API de inscrição não consegue validar que as solicitações de registro se originam do mesmo locatário, permitindo a criação de contas entre locatários por meio de simples HTTP solicitação de manipulação.

Explorar esta vulnerabilidade requer sofisticação técnica mínima. Um invasor precisa de acesso a qualquer Portal de Desenvolvedor APIM com inscrição habilitada ou pode usar sua própria instância APIM.

Ao interceptar uma solicitação de inscrição legítima e modificar o cabeçalho do Host para apontar para a instância de destino, os invasores podem registrar contas em portais de vítimas que parecem ter a inscrição desabilitada.

Esse desvio entre locatários funciona porque o endpoint de inscrição processa solicitações com base somente no cabeçalho Host sem impor a validação do limite do locatário.

Uma vez registrados, os invasores obtêm acesso a documentação de API potencialmente confidencial, chaves de assinatura e outros recursos expostos por meio do Portal do Desenvolvedor.

A resposta controversa da Microsoft

O pesquisador relatado a vulnerabilidade no Microsoft Security Response Center duas vezes, primeiro em 30 de setembro de 2025 e novamente em 1º de novembro de 2025, com detalhes técnicos adicionais.

Ambos os relatórios foram encerrados pelo MSRC com a determinação de que o comportamento é “intencional” e não constitui uma vulnerabilidade de segurança.

Após a recusa da Microsoft em resolver o problema, o pesquisador relatou o fato ao CERT-FI antes de divulgar publicamente a vulnerabilidade em 26 de novembro de 2025. Um identificador CVE foi solicitado ao MITRE em 27 de novembro de 2025.

As organizações que executam instâncias APIM ficam vulneráveis ​​se a Autenticação Básica estiver configurada e o Portal do Desenvolvedor estiver acessível, independentemente das configurações de inscrição da UI.

A vulnerabilidade permite a criação de contas entre locatários, ignora os controles administrativos de segurança e potencialmente expõe a documentação interna da API e as chaves de assinatura a invasores externos não autorizados.

Instâncias APIM usando apenas Azure AD ou Autenticação OAuth não são afetados, nem os casos em que o Portal do Desenvolvedor está completamente desativado ou o provedor de Autenticação Básica foi totalmente removido.

As organizações devem remover imediatamente o provedor de identidade de Autenticação Básica completamente de suas instâncias APIM, em vez de simplesmente desligar a inscrição na IU.

Os administradores devem auditar as contas existentes do Portal do Desenvolvedor em busca de registros não autorizados, revisando carimbos de data/hora e padrões de criação.

A implementação da autenticação Azure AD como fornecedor de identidade exclusivo impõe limites adequados ao inquilino e elimina a vulnerabilidade.

As organizações devem monitorar regularmente a atividade de inscrição no portal e realizar auditorias periódicas nas contas.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.