Segurança cibernética

Microsoft corrige falha crítica no Azure AI Face Service com CVSS 9.9

A Microsoft corrigiu falhas críticas de segurança no Azure AI Face Service e na Conta da Microsoft, incluindo uma vulnerabilidade com pontuação CVSS 9.9. Ambas as falhas foram mitigadas sem necessidade de ação dos clientes.

Logotipo da Microsoft Azure dentro de um ícone de nuvem com um fundo azul e linhas de circuito, representando serviços em nuvem.

A Microsoft lançou atualizações de segurança para corrigir duas falhas graves que afetam o Azure AI Face Service e a Conta da Microsoft. Essas vulnerabilidades permitiam a elevação de privilégios por atacantes sob determinadas condições.

Microsoft corrige falha crítica no Azure AI Face Service com CVSS 9.9

microsoft-anuncia-muitas-atualizacoes-para-o-azure

As falhas corrigidas são:

  • CVE-2025-21396 (pontuação CVSS: 7,5) – Falha de elevação de privilégio na Conta da Microsoft.
  • CVE-2025-21415 (pontuação CVSS: 9,9) – Falha de elevação de privilégio no Azure AI Face Service.

Segundo a Microsoft, o CVE-2025-21415 envolvia um bypass de autenticação por falsificação, permitindo que um invasor já autorizado obtivesse privilégios elevados dentro da rede. O problema foi reportado por um pesquisador anônimo.

Já o CVE-2025-21396 resultava da ausência de autorização adequada, permitindo que agentes mal-intencionados sem privilégios acessassem recursos restritos. O pesquisador de segurança conhecido como Sugobet foi creditado pela descoberta.

Medidas de mitigação

A Microsoft informou que ambas as falhas foram completamente mitigadas e que nenhuma ação adicional é necessária por parte dos clientes. Além disso, um código de exploração de prova de conceito (PoC) para o CVE-2025-21415 já foi identificado, reforçando a importância dessa correção.

Essas atualizações fazem parte da estratégia da Microsoft para garantir maior transparência sobre vulnerabilidades críticas em serviços de nuvem, emitindo CVEs mesmo quando nenhuma ação do usuário é necessária.

Transparência e segurança na nuvem

Com o avanço da adoção de serviços baseados em nuvem, a Microsoft reforça seu compromisso com a transparência na segurança cibernética. Desde junho de 2024, a empresa tem publicado relatórios detalhados sobre vulnerabilidades encontradas e corrigidas.

“Ao compartilhar informações sobre falhas de segurança e suas correções, permitimos que toda a indústria aprenda e evolua. Esse esforço conjunto melhora a resiliência da infraestrutura digital”, destacou a Microsoft em comunicado.

Essa abordagem fortalece a segurança dos serviços na nuvem e ajuda empresas e usuários a manterem seus dados protegidos.

Acesse a versão completa
Sair da versão mobile