A Microsoft lançou atualizações de segurança para corrigir duas falhas graves que afetam o Azure AI Face Service e a Conta da Microsoft. Essas vulnerabilidades permitiam a elevação de privilégios por atacantes sob determinadas condições.
Microsoft corrige falha crítica no Azure AI Face Service com CVSS 9.9
As falhas corrigidas são:
- CVE-2025-21396 (pontuação CVSS: 7,5) – Falha de elevação de privilégio na Conta da Microsoft.
- CVE-2025-21415 (pontuação CVSS: 9,9) – Falha de elevação de privilégio no Azure AI Face Service.
Segundo a Microsoft, o CVE-2025-21415 envolvia um bypass de autenticação por falsificação, permitindo que um invasor já autorizado obtivesse privilégios elevados dentro da rede. O problema foi reportado por um pesquisador anônimo.
Já o CVE-2025-21396 resultava da ausência de autorização adequada, permitindo que agentes mal-intencionados sem privilégios acessassem recursos restritos. O pesquisador de segurança conhecido como Sugobet foi creditado pela descoberta.
Notícias Relacionadas
Falhas descobertas
Nova falha de segurança no iPhone pode expor seus dados pessoais enquanto você navega
Pesquisadores encontraram falhas nos chips A15, A16 e A17 da Apple, permitindo que hackers acessem dados privados remotamente através de sites maliciosos. Apple ainda não lançou correções.
Problema de segurança
Vazamento de dados expõe vulnerabilidade grave na deepseek
Um vazamento de dados da DeepSeek revelou uma grave falha de segurança, expondo informações confidenciais de usuários e do sistema. A empresa agiu rapidamente para corrigir, mas o incidente levanta questões sobre segurança em IA.
Medidas de mitigação
A Microsoft informou que ambas as falhas foram completamente mitigadas e que nenhuma ação adicional é necessária por parte dos clientes. Além disso, um código de exploração de prova de conceito (PoC) para o CVE-2025-21415 já foi identificado, reforçando a importância dessa correção.
Essas atualizações fazem parte da estratégia da Microsoft para garantir maior transparência sobre vulnerabilidades críticas em serviços de nuvem, emitindo CVEs mesmo quando nenhuma ação do usuário é necessária.
Transparência e segurança na nuvem
Com o avanço da adoção de serviços baseados em nuvem, a Microsoft reforça seu compromisso com a transparência na segurança cibernética. Desde junho de 2024, a empresa tem publicado relatórios detalhados sobre vulnerabilidades encontradas e corrigidas.
“Ao compartilhar informações sobre falhas de segurança e suas correções, permitimos que toda a indústria aprenda e evolua. Esse esforço conjunto melhora a resiliência da infraestrutura digital”, destacou a Microsoft em comunicado.
Essa abordagem fortalece a segurança dos serviços na nuvem e ajuda empresas e usuários a manterem seus dados protegidos.
