Uma falha crítica na arquitetura de API Connection do Microsoft Azure acendeu o alerta vermelho para quem depende da nuvem da Big Tech. O problema, revelado por um pesquisador que recebeu US$ 40 mil de recompensa e um espaço na conferência Black Hat, permite algo impensável: acesso cruzado e irrestrito entre ambientes de diferentes clientes, incluindo dados sensíveis em Key Vaults, bancos SQL e serviços externos como Salesforce e Jira.
Sim, com um único ponto mal protegido, qualquer atacante com permissão de Contributor em um ambiente podia explorar a falha para invadir outros inquilinos da plataforma.
O que exatamente estava errado no Azure?
Tudo gira em torno do DynamicInvoke, um endpoint não documentado na estrutura do Azure Resource Manager (ARM). Esse endpoint é capaz de executar requisições arbitrárias usando um formato especial:
/apim/[TipoConector]/[ConnectionID]/[Ação]
O problema? Esse endpoint opera com tokens super privilegiados do ARM, que têm acesso a todas as conexões de API criadas no ambiente global do Azure — ou seja, sem fronteiras entre tenants.
E a brecha surgiu com um velho conhecido: path traversal. Bastava construir uma chamada maliciosa com algo como ../../../../OutroConector/OutraConnectionID/ação, e o caminho era normalizado, permitindo ao invasor acessar diretamente a conexão de outro cliente com todos os privilégios.
O impacto real da falha
Esse não é um daqueles bugs teóricos que exigem condições raras. A única exigência era ter acesso Contributor em qualquer conexão de API em um tenant qualquer. E uma vez dentro, o atacante podia:
- Ler e exportar segredos, certificados e chaves do Azure Key Vault
- Invadir e manipular bancos de dados SQL
- Acessar integrações com terceiros, como Slack, Jira, Salesforce e outros
- Executar ações arbitrárias em qualquer serviço conectado por API
Resumindo: total comprometimento do ambiente da vítima, incluindo dados críticos e operações administrativas.
A resposta da Microsoft
A falha foi reportada em 7 de abril de 2025 e, em três dias, a Microsoft confirmou o problema. Em menos de uma semana, medidas de mitigação foram aplicadas, incluindo um sistema de blacklist para bloquear parâmetros com ../ e variantes codificadas.
Mas como toda boa história de segurança, o patch não é considerado definitivo. O próprio pesquisador afirmou que bypasses ainda podem ser possíveis com técnicas alternativas de normalização de caminho.
E sim, novas descobertas podem render recompensas generosas um belo incentivo para o teste contínuo da robustez da infraestrutura Azure.
O que essa falha revela?
Mais do que uma vulnerabilidade isolada, esse caso mostra como arquiteturas mal pensadas em ambientes multi-inquilino podem colocar todo o modelo de segurança em risco. Não adianta falar de zero trust se endpoints críticos permitem saltos entre contas sem barreiras.
Se sua empresa depende do Azure, vale:
- Revisar todas as permissões concedidas a recursos API Connections
- Auditar Logic Apps personalizados
- Monitorar logs de ARM com atenção para chamadas anômalas
- Pressionar por mais transparência e auditoria dos mecanismos internos do Azure
Você confia na separação entre ambientes quando move seus dados para a nuvem? Será que a sua API está mais exposta do que parece?
