Microsoft ha reconocido la existencia de cuatro vulnerabilidades críticas en sus servicios cloud, específicamente en Azure y Power Apps. Entre ellas destaca el CVE-2025-29813, calificado con una puntuación CVSS de 10.0, la más alta posible. Aunque todas las fallas ya han sido corregidas por el proveedor, su existencia subraya los riesgos inherentes a los entornos cloud multi-tenant, donde múltiples clientes comparten infraestructura y servicios.
🔍 Resumen de vulnerabilidades:
| CVE | Servicio afectado | CVSS | Descripción | Riesgo principal |
|---|---|---|---|---|
| CVE-2025-29813 | Azure DevOps | 10.0 | Visual Studio gestionaba incorrectamente los pipeline job tokens. Un atacante con acceso mínimo podía intercambiar un token efímero por uno persistente, manteniendo control a largo plazo sobre el proyecto. | Escalada de privilegios y movimiento lateral. |
| CVE-2025-29827 | Azure Automation | 9.9 | Fallo de autorización (CWE-285) que permitía a usuarios autenticados elevar privilegios dentro de entornos compartidos. | Compromiso total de automatizaciones y runbooks. |
| CVE-2025-29972 | Azure Storage Resource Provider | 9.9 | Vulnerabilidad SSRF que permitía suplantar solicitudes internas y actuar en nombre de otros servicios o identidades. | Acceso o modificación no autorizada de datos; posible pivote hacia otros recursos. |
| CVE-2025-47733 | Power Apps | 9.1 | Otra SSRF, pero sin necesidad de autenticación: bastaba con enviar solicitudes manipuladas para obtener datos sensibles. | Exfiltración de información desde aplicaciones low-code. |
✅ ¿Necesito tomar acción?
Según Microsoft, las cuatro vulnerabilidades fueron mitigadas directamente en la plataforma, por lo que no se requiere intervención por parte de los usuarios. Sin embargo, se recomienda aplicar buenas prácticas de seguridad para reforzar la protección:
🔒 Recomendaciones clave:
- Auditar registros de pipelines, runbooks y almacenamiento en busca de actividades inusuales, como tokens reutilizados o solicitudes internas sospechosas.
- Aplicar el principio de mínimo privilegio en identidades, service principals y suscripciones dentro de Azure.
- Segregar entornos de desarrollo y producción para evitar que accesos limitados escalen hacia recursos críticos.
- Monitorizar con herramientas como Microsoft Defender for Cloud o soluciones SIEM, buscando patrones anómalos o indicadores de ataques SSRF.
- Mantener una supervisión continua y realizar un hardening riguroso de los permisos sigue siendo una defensa clave, especialmente cuando la infraestructura se encuentra en la nube del proveedor.
☁️ Estas vulnerabilidades refuerzan la necesidad de una postura proactiva frente a la seguridad cloud, incluso cuando el proveedor aplica parches de forma automática.
Fuente: unaaldia.hispasec.com
