Allarme sicurezza: vulnerabilità 10/10 nei servizi cloud di Microsoft

Le vulnerabilità di Azure colpiscono al cuore del cloud di Microsoft, con un caso, più unico che raro, che ha raggiunto la valutazione massima di criticità. Quattro falle di sicurezza, una delle quali classificata con un punteggio perfetto di 10/10 secondo il sistema Common Vulnerability Scoring System, hanno recentemente interessato i servizi cloud core dell'azienda di Redmond. La notizia positiva è che nessuna di queste vulnerabilità risulta essere stata sfruttata attivamente da malintenzionati, né era stata precedentemente divulgata pubblicamente. Inoltre, Microsoft ha già implementato autonomamente tutte le misure correttive necessarie, senza richiedere alcun intervento da parte degli utenti finali.

Il panorama della sicurezza cloud è stato scosso dalla scoperta di queste quattro vulnerabilità critiche nei servizi Microsoft. Oltre alla falla con il punteggio massimo di 10/10, due vulnerabilità hanno ottenuto valutazioni estremamente elevate di 9.9, mentre l'ultima si è "fermata" a un comunque preoccupante 9.1. Ciascuna di esse avrebbe potuto rappresentare un significativo rischio per la sicurezza se sfruttata.

La vulnerabilità più grave, identificata come CVE-2025-29813, ha colpito Azure DevOps con un potenziale rischio di elevazione dei privilegi. Il problema è stato causato da una gestione impropria dei token delle pipeline da parte di Visual Studio, che avrebbe potuto consentire a un attaccante di estendere il proprio accesso a un progetto. Secondo Microsoft, per sfruttare questa vulnerabilità, "un attaccante avrebbe dovuto prima ottenere accesso al progetto e scambiare il token a breve termine con uno a lungo termine".

La seconda vulnerabilità in ordine di gravità (CVE-2025-29972), con un punteggio di 9.9, ha interessato Azure Storage Resource Provider. Si trattava di una falla di tipo server-side request forgery che avrebbe potuto consentire a un attaccante autorizzato di effettuare operazioni di "spoofing" sulla rete, distribuendo richieste dannose che impersonano servizi e utenti legittimi.

Non meno preoccupante è stata la CVE-2025-29827, anch'essa con un punteggio di 9.9, che ha interessato Azure Automation. Questa vulnerabilità, causata da un problema di autorizzazione impropria, avrebbe potuto consentire a un hacker di elevare i privilegi attraverso la rete, compromettendo potenzialmente l'intera infrastruttura.

Infine, la vulnerabilità CVE-2025-47733, con un punteggio di 9.1, ha colpito Microsoft Power Apps. A differenza delle altre, questa falla avrebbe potuto permettere a un attaccante di divulgare informazioni attraverso la rete, sfruttando sempre un meccanismo di server-side request forgery.

L'aspetto più rassicurante di queste scoperte è che tutte le vulnerabilità sono state completamente mitigate da Microsoft prima della loro divulgazione pubblica. Come dichiarato dall'azienda stessa per ciascuna delle falle di sicurezza: "Questa vulnerabilità è già stata completamente mitigata da Microsoft. Non è richiesta alcuna azione da parte degli utenti di questo servizio."

Questo approccio rappresenta un significativo cambiamento nella gestione della sicurezza cloud. In passato, i fornitori di servizi cloud tendevano a non divulgare informazioni sulle vulnerabilità trovate e risolte internamente, a meno che non fosse necessaria un'azione da parte del cliente. Microsoft Security Response Center ha ora assunto l'impegno di fornire informazioni complete sulle vulnerabilità ai clienti, dettagliando i CVE (Common Vulnerabilities and Exposures) dei servizi cloud una volta che sono stati corretti internamente.

Come confermato da Microsoft: "Pubblicheremo CVE per le vulnerabilità critiche dei servizi cloud, indipendentemente dal fatto che i clienti debbano installare una patch o intraprendere altre azioni per proteggersi". Questo nuovo standard di trasparenza rappresenta un passo avanti significativo nella sicurezza dell'ecosistema cloud, consentendo agli utenti di essere pienamente informati sui rischi potenziali, anche quando questi sono già stati mitigati.