Uma vulnerabilidade crítica não Bastião Azure (CVE-2025-49752), configuração com CVSS 10.0, permite que ameaças remotas burlarem a autenticação e assumam privilégios administrativos sem qualquer interação do usuário.
O Azure Bastion é utilizado para fornecer acesso seguro à infraestrutura em nuvem; essa falha derrubou toda a lógica de proteção, expondo as máquinas virtuais a possíveis compromissos totais.
Detalhes técnicos
A brecha decorre do processamento inadequado de tokens de autenticação no serviço Bastion.
Atacantes podem interceptar e reaplicar credenciais válidas, contornando verificações de segurança e ganhando poderes de administrador.
A falha é explorada em nível de rede, sem necessidade de acesso físico, privilégios especiais ou ação do usuário.
Todas as versões anteriores à atualização lançada em 20 de novembro de 2025 são vulneráveis, afetando qualquer configuração do serviço.
Impacto e recomendações
- Um atacante pode, via requisição de rede, comprometer todos os recursos conectados pelo Bastion.
- A administração de máquinas virtuais e a infraestrutura em nuvem ficam expostas a ataques automatizados e furtivos.
- Equipes de segurança deverão aplicar urgentemente o patch disponibilizado, verificar as configurações do Bastion e auditar os registros administrativos em busca de acessos não autorizados.
- Reforçar a segmentação de rede e os controles de acesso ao redor das implantações do Azure Bastion.
- Essa vulnerabilidade soma-se a uma lista crescente de falhas críticas de autenticação e escalada de privilégios observadas no Azure em 2025.
Mesmo com iniciativas como a Secure Future Initiative, a recorrência desses problemas destaca a importância da resposta rápida e da gestão contínua das superfícies de ataque em ambientes cloud.
