Uma vulnerabilidade crítica de segurança no Portal do Desenvolvedor do Microsoft Azure API Management (APIM) permite que invasores registrem contas em diferentes instâncias de locatário, mesmo quando os administradores desabilitaram explicitamente a inscrição do usuário por meio da interface do portal.
A falha, que a Microsoft classificou como “intencional”, permanece sem correção desde 1º de dezembro de 2025, deixando as organizações potencialmente expostas a acesso não autorizado.
O problema de segurança decorre de uma falha de design fundamental em que a desativação da inscrição na UI do Portal do Azure apenas oculta visualmente o formulário de registo, enquanto o ponto final da API /signup subjacente permanece totalmente ativo e acessível.
Quando a Autenticação Básica é configurada para o Portal do Desenvolvedor, a API de back-end continua aceitando solicitações de registro sem validar os limites do locatário ou verificar se a solicitação se origina de uma fonte autorizada.
Falha no gerenciamento da API do Microsoft Azure
Os invasores exploram essa vulnerabilidade manipulando o cabeçalho Host nas solicitações de inscrição. O ataque requer acesso a qualquer instância APIM com inscrição habilitada, incluindo uma controlada pelo invasor, onde ele pode interceptar uma solicitação de inscrição legítima, modificar o cabeçalho Host para apontar para uma instância APIM da organização alvo e criar uma conta com sucesso, apesar da inscrição estar “desativada” no portal da vítima.
A vulnerabilidade permite vários riscos críticos de segurança, incluindo a criação de contas entre locatários em qualquer instância APIM com autenticação básica habilitada, desvio completo de controles de acesso administrativo e exposição potencial de documentação confidencial de API e chaves de assinatura. As organizações que acreditavam ter desativado o registro público podem, sem saber, permanecer vulneráveis a esse vetor de ataque.
As instâncias APIM serão vulneráveis se a Autenticação Básica estiver configurada (independentemente das configurações da UI), o Portal do Desenvolvedor estiver implantado e acessível e o serviço for executado nos níveis Desenvolvedor, Básico, Padrão ou Premium. A vulnerabilidade recebeu uma pontuação CVSS de 6,5, classificada como gravidade média-alta sob CWE-284 (Controle de acesso inadequado).
O pesquisador de segurança finlandês Mihalis Haatainen da Bountyy Oy descobriu a vulnerabilidade em 30 de setembro de 2025 e imediatamente a relatou ao Microsoft Security Response Center (MSRC).
Depois de enviar dois relatórios detalhados em setembro e novembro, a Microsoft encerrou ambos os casos, afirmando que o comportamento era “intencional” e não constituía uma vulnerabilidade de segurança. O pesquisador posteriormente relatou o problema ao CERT-FI antes de divulgá-lo publicamente em 26 de novembro de 2025.
Como a Microsoft não lançou um patch, as organizações devem tomar medidas imediatas para proteger as suas instâncias APIM. A etapa mais crítica é remover completamente o provedor de identidade de Autenticação Básica do Portal do Azure, e não apenas desabilitar a inscrição na UI.
As organizações devem navegar até sua instância APIM, acessar as configurações do Portal do Desenvolvedor em Identidades e excluir totalmente o provedor de identidade “Nome de usuário e senha”.
Medidas de proteção adicionais incluem mudar exclusivamente para a autenticação do Azure Active Directory para impor limites adequados de locatário, auditar todas as contas de usuário existentes do Portal do Desenvolvedor para registros não autorizados criados após a inscrição ter sido supostamente desativada e implementar o monitoramento contínuo da atividade de inscrição e chamadas de API.
As equipes de segurança podem usar o script de verificação Python disponível publicamente e o modelo Nuclei lançado pelo pesquisador para identificar instâncias vulneráveis em suas organizações.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Contate-nos para apresentar suas histórias.
