Falha crítica expõe Azure Bastion globalmente

Uma vulnerabilidade crítica no Azure Bastion (CVE-2025-49752), classificada com CVSS 10.0, permite que atacantes remotos burlarem a autenticação e assumam privilégios administrativos sem qualquer interação do usuário.
O Azure Bastion é utilizado para fornecer acesso seguro à infraestrutura cloud; essa falha derruba toda a lógica de proteção, expondo as máquinas virtuais a possíveis compromissos totais.

Detalhes técnicos

A brecha decorre do processamento inadequado de tokens de autenticação no serviço Bastion.
Atacantes podem interceptar e reaplicar credenciais válidas, contornando verificações de segurança e ganhando poderes de administrador.
A falha é explorada em nível de rede, sem necessidade de acesso físico, privilégios especiais ou ação do usuário.

Todas as versões anteriores à atualização lançada em 20 de novembro de 2025 estão vulneráveis, afetando qualquer configuração do serviço.

Impacto e recomendações

• Um atacante pode, via requisição de rede, comprometer todos os recursos conectados pelo Bastion.
• Administração de máquinas virtuais e a infraestrutura cloud ficam expostas a ataques automatizados e furtivos.
• Equipes de segurança devem aplicar urgentemente o patch disponibilizado, revisar configurações do Bastion e auditar os logs administrativos em busca de acessos não autorizados.
• Reforçar a segmentação de rede e os controles de acesso ao redor das implantações do Azure Bastion.
• Essa vulnerabilidade soma-se a uma lista crescente de falhas críticas de autenticação e escalonamento de privilégios observadas no Azure em 2025.

Mesmo com iniciativas como o Secure Future Initiative, a recorrência desses problemas destaca a importância da resposta rápida e da gestão contínua das superfícies de ataque em ambientes cloud.