Sabe aquele discurso bonito sobre “segurança na nuvem“? Pois é, no caso do Azure, ele quase foi por água abaixo. Uma falha grave descoberta por Haakon Gulbrandsrud, da empresa norueguesa Binary Security, mostrou que usuários com privilégios mínimos ou nem isso podiam acessar dados sensíveis de outros clientes do Azure. Tudo isso graças ao uso desatento das API Connections na funcionalidade de Logic Apps, a famosa ferramenta low-code da plataforma.
A falha começa onde menos se espera: na automação low-code
A brecha explorava um detalhe importante, mas negligenciado: quando um usuário configura ações com serviços como Slack, Jira ou Salesforce nas Logic Apps, o Azure cria automaticamente conexões API que ficam penduradas na estrutura da nuvem. E essas conexões, como Gulbrandsrud descobriu, nem sempre respeitavam os limites de permissão que a ARM (Azure Resource Manager) impõe.
Na prática? Um usuário com permissão de leitura (read-only) podia fazer requisições a endpoints que expunham dados sensíveis de toda a infraestrutura incluindo cofres de chaves, bancos de dados e integrações críticas com aplicativos externos.
Azure confiando demais em si mesmo
Segundo o pesquisador, o problema está na confiança excessiva que a arquitetura do Azure deposita na ARM. O sistema se autentica uma única vez e distribui tokens internos para outras ações. Se alguém conseguir explorar esse elo, como no caso das API Connections, tem acesso quase total às engrenagens do sistema.
E o que é pior: o processo de criação dessas conexões não é explícito. Ou seja, você pode nem saber que elas existem e ainda assim elas podem estar expondo seus dados.
Exemplo real: da Slack à Jira em um salto
Durante uma auditoria, Gulbrandsrud percebeu que, ao chamar uma Logic App configurada para se conectar ao Slack, recebeu de volta informações que permitiam saltar para a Jira e possivelmente para qualquer outro serviço conectado. Tudo isso com credenciais padrão e sem necessidade de autenticação ativa.
Você esperaria que fosse preciso um token, ou um fluxo OAuth, mas não. Qualquer usuário com permissão de leitura podia fazer a chamada e acessar tudo, relatou em sua análise.
Continua depois da publicidade
De falha a travessia entre tenants
Como se não bastasse, o buraco ficou mais fundo. Gulbrandsrud continuou investigando e descobriu uma forma de usar essa falha para acessar dados de outros tenants ou seja, clientes diferentes na nuvem da Microsoft. Isso inclui, por exemplo, cofres de chaves do Azure Key Vault, um dos componentes mais críticos da infraestrutura.
Esse segundo achado foi tão sério que rendeu ao pesquisador uma recompensa de US$ 40 mil da Microsoft. Mas a primeira falha, segundo a empresa, “já havia sido identificada internamente” o que, convenhamos, não ajuda muito se ninguém foi avisado.
O problema invisível da nuvem
Como qualquer atualização em nuvem, o patch aplicado pela Microsoft foi silencioso. Isso significa que empresas afetadas pela falha podem nunca saber se foram exploradas. Não há alerta, notificação nem ferramenta de detecção retroativa. Só resta confiar que ninguém malicioso teve a mesma ideia antes do pesquisador.
Gulbrandsrud resume bem a crítica:
Se não virar palestra em evento ou post viral, ninguém nunca vai saber. E, na prática, qualquer pessoa poderia ter achado esse exploit com um olhar mais atento.
Continua depois da publicidade
Essa falha não só revela um risco real na arquitetura do Azure, como também acende um alerta maior sobre segurança na nuvem: o que parece automatizado e seguro pode, na verdade, estar expondo sua empresa. E sem nenhum aviso.
E aí, sua equipe sabe exatamente quais APIs estão conectadas às Logic Apps no seu ambiente Azure? Ou está confiando no “deixa que o sistema cuida”””?
