Hack Alerta

Falha no Azure APIM permite criação de contas cross-tenant mesmo com signup desativado

Por Redação Hack Alerta Publicado em 01/12/2025 12:01 Riscos e Ameaças Tempo de leitura: 4 min

Pesquisa revela que desativar o cadastro no Azure APIM Developer Portal não bloqueia o endpoint /signup quando Basic Authentication está ativo; invasores podem usar manipulação do cabeçalho Host para criar contas em tenants alheios. Mitigação principal: remover o provedor "Username and password" e migrar para Azure AD.

Uma falha no Azure API Management (APIM) Developer Portal permite que invasores criem contas em instâncias de outros tenants mesmo quando o botão de cadastro está desativado na interface — e a Microsoft classificou o comportamento como "by design".

Descoberta e panorama

O pesquisador finlandês Mihalis Haatainen (Bountyy Oy) identificou o problema em 30 de setembro de 2025 e reportou-o ao Microsoft Security Response Center (MSRC). Depois de dois relatórios em setembro e novembro, a Microsoft concluiu que o comportamento era "by design"; o pesquisador levou o caso ao CERT-FI e divulgou a pesquisa publicamente em 26 de novembro de 2025. A vulnerabilidade permanece sem correção até as datas mencionadas nas fontes.

O que mudou agora

Segundo relatos técnicos, o botão para desativar signup no Developer Portal apenas remove o formulário do ponto de vista da interface, mas o endpoint subjacente /signup continua ativo. Quando o provedor de identidade "Username and password" (Basic Authentication) está configurado, o backend aceita requisições de registro sem validar limites de tenant ou verificar que a requisição tenha origem autorizada.

Abordagem técnica / Vetor de exploração

Exploração prática descrita pelo pesquisador demonstra que um atacante com acesso a qualquer instância APIM com signup habilitado — incluindo uma controlada pelo próprio atacante — pode interceptar uma requisição legítima de cadastro, manipular o cabeçalho Host apontando para a instância alvo e efetivar o registro mesmo com signup visualmente desativado na vítima. O problema afeta instâncias que usam Basic Authentication no Developer Portal em tiers Developer, Basic, Standard e Premium.

Severidade e identificação

As fontes citam uma pontuação CVSS de 6.5 e classificam o problema sob CWE-284 (Improper Access Control), indicando severidade média-alta. As evidências técnicas e o método de exploração foram divulgados pelo pesquisador, que também liberou um script Python e um template Nuclei para verificação de instâncias vulneráveis.

Mitigações imediatas

  • Remover completamente o provedor de identidade "Username and password" (Basic Authentication) do Developer Portal — a simples desativação do botão de signup na UI não é suficiente.
  • Migrar para autenticação via Azure Active Directory para garantir fronteiras de tenant apropriadas.
  • Auditar contas de usuário do Developer Portal em busca de registros não autorizados realizados após a desativação de signup.
  • Implementar monitoramento contínuo de atividade de signup e chamadas ao endpoint /signup e usar os artefatos públicos (script Python e template Nuclei) para identificar instâncias vulneráveis.

Impacto e quem é afetado

O vetor permite criação cross-tenant de contas em instâncias APIM que mantenham Basic Authentication, potencialmente expondo documentação de APIs, chaves de subscription e possibilitando bypass de controles administrativos em organizações que acreditavam ter fechado o cadastro público. As instâncias nas camadas Developer, Basic, Standard e Premium são explicitamente mencionadas como afetadas.

Limites das informações

As fontes ressaltam que a Microsoft classificou o comportamento como "by design" e, até a data das divulgações citadas, não havia patch disponibilizado. As fontes não apresentam um identificador CVE público nem anúncios oficiais de correção da Microsoft que revertam a posição inicial; informações sobre exploração em ataques reais não foram detalhadas nas matérias consultadas.

Recomendações operacionais e próximos passos

Equipes de segurança devem priorizar a remoção do provedor Basic Authentication e auditar quaisquer registros realizados durante o período em que a UI indicava signup desativado. Além disso, migrar para Azure AD e criar regras de monitoramento para tráfego atípico ao endpoint /signup são medidas práticas indicadas nas fontes. Organizações que não possam remover imediatamente o provedor devem auditar e isolar logs e implementar detecção de manipulação de cabeçalho Host.

Contexto regulatório

Embora as matérias não mencionem impactos diretos à LGPD, a potencial criação indevida de contas e acesso a documentação/screening de chaves de API pode implicar riscos de exposição de dados pessoais dependendo do conteúdo acessível via Developer Portal; a necessidade de auditoria e de medidas compensatórias é, portanto, relevante para controles de conformidade.

Baseado em publicação original de Cyber Security News
Tags: #azure #apim #developer-portal #basic-auth #tenant-isolation #host-header #access-control #vulnerability #microsoft
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar