«Modo dios» en una cuenta de prueba: un código olvidado de Microsoft se convirtió en la llave de toda la infraestructura de Azure
Dos fallos casi imperceptibles en Microsoft estuvieron a punto de provocar una vulnerabilidad apocalíptica.
Microsoft casi estuvo expuesta a una vulnerabilidad capaz de convertirse en una compromisión masiva de clientes en la nube: el investigador neerlandés Dirk-jan Mollema descubrió dos errores interconectados en el servicio de gestión de identidad Entra ID (antes Azure Active Directory), que al combinarse permitían obtener privilegios de administrador global y, de hecho, apoderarse de cualquier tenant de Azure.
El primer problema afectaba a un mecanismo poco conocido de emisión de tokens internos —los llamados Actor Tokens, usados para la autenticación de servicio a servicio—; el segundo era la interfaz obsoleta Azure AD Graph, que comprobaba incorrectamente de qué tenant procedía la solicitud y, por ello, aceptaba tokens ajenos. La combinación de estas fallas permitía, desde una cuenta de prueba o trial, solicitar tokens, otorgarse las credenciales de otro usuario y crear un administrador con privilegios ilimitados en un tenant ajeno —con la posibilidad de cambiar configuraciones, añadir usuarios y gestionar suscripciones y aplicaciones de Entra ID. La propia vulnerabilidad recibió el identificador CVE-2025-55241.
Mollema informó del hallazgo al Microsoft Security Response Center el 14 de julio. La compañía inició la investigación de inmediato, implementó correcciones en los mecanismos en producción en cuestión de días y confirmó la eliminación completa el 23 de julio, con medidas adicionales en agosto. En comentarios oficiales, representantes de Microsoft indicaron los cambios en la lógica de validación de tokens y la aceleración del retiro de protocolos heredados en el marco de la iniciativa Secure Future Initiative. Tras una revisión interna, la corporación no encontró indicios de explotación de la vulnerabilidad en condiciones reales.
Los especialistas señalan que defectos de este tipo en proveedores de identidad son de los más peligrosos: pueden eludir los mecanismos de acceso condicional, los registros y la autenticación multifactor y abrir el acceso a todos los servicios ligados a Entra ID: Azure, Exchange, SharePoint y otros. Como recordatorio sirve el incidente Storm-0558 de 2023, cuando el compromiso de una clave permitió a los atacantes generar tokens y acceder a los sistemas de correo del proveedor en la nube. A diferencia de casos anteriores, la combinación actual de errores requería únicamente manipular tipos internos de tokens y una API obsoleta, lo que hacía más sencilla la ejecución del ataque en determinadas condiciones.
El descubrimiento y la rápida respuesta de Mollema y Microsoft subrayan la importancia de acelerar la retirada de componentes heredados y de auditar de forma continua los mecanismos internos de emisión de tokens. El ecosistema de identidades en la nube sigue siendo el centro de confianza para un gran número de organizaciones, y un fallo en su núcleo conlleva el riesgo de un impacto masivo —desde el compromiso de datos hasta la toma total de servicios gestionados.