Se ha identificado una vulnerabilidad radical de tamaño mediano en Microsoft Identity Web. Bajo ciertas condiciones, puede exponer información secreta y certificada para los clientes que son confidenciales a los registros de servicio.
El defecto rastreado como CVE-2025-32016 afectó las versiones de la biblioteca 3.2.0 a 3.8.1, lo que provocó una recomendación urgente de Microsoft.
La vulnerabilidad afecta a Microsoft.identity.Web, un paquete NUGET ampliamente utilizado que simplifica la autenticación de Azure Active Directory para aplicaciones .NET.
Se usa comúnmente en aplicaciones de clientes confidenciales como Daemons, aplicaciones web y API web.
Descripción general de la vulnerabilidad
Este problema es específicamente: si las credenciales confidenciales se registran en una configuración particular:
Nivel de registro: los registros se generan en el nivel de información.
Descripción de la credencial: un registro que contiene una contraseña, el valor de codificación Base64 o una ruta de archivo local con el secreto del cliente.
Certificado no válido o caducado: un registro de un servicio que utiliza una ruta de certificado con una descripción de la credencial de contraseña o de contraseña de base no válida o expirada.
“Esta vulnerabilidad afecta las aplicaciones confidenciales de los clientes, incluidos los demonios, las aplicaciones web y las API web. En ciertas circunstancias, la información confidencial, como los secretos del cliente y los detalles del certificado, podrían estar expuestos a los registros de servicios de estas aplicaciones”, dijo el asesoramiento.
Marcel Michau fue reconocido por su descubrimiento, y el equipo de identidad de Microsoft, Jean-Marc Prieur y Jenny Ferris, manejaron el desarrollo de reparación.
A continuación se muestra una descripción general de la vulnerabilidad:
Factores de riesgo Detalles AFTECTECTECTECTECTECTECT.
– El nivel de registro establecido en la información. – Registro que contiene descripciones de credenciales como valores de codificación de Base64, secretos del cliente o certificados no válidos/caducados. CVSS3.1 Puntuación 4.7 (gravedad media)
El impacto de la vulnerabilidad
La exposición ocurre especialmente en las siguientes condiciones:
Si el registro de servicio se generó con Loglevel, si el Microsoft.identity.Web Namespace Information = Credential Descripción contiene una ruta de archivo local con contraseña, un certificado codificado por Base64 o un secreto del cliente que contiene un certificado o ruta de certificado codificado Base64 (independientemente del nivel de registro, no a nivel de registro)
La vulnerabilidad recibió una puntuación CVSS de 4.7, lo que refleja la gravedad moderada. El impacto depende de cómo se manejen los registros de servicio de manera segura, pero las organizaciones con prácticas de protección de registro inapropiadas pueden enfrentar graves riesgos de seguridad si los actores maliciosos obtienen estas credenciales.
Microsoft ha lanzado un parche para abordar este problema. Se ha alentado a los usuarios a actualizar a continuación:
Microsoft.identity.Web Versión 3.8.2 Microsoft.identity.Abstracciones versión 9.0.0.
Las versiones parcheadas evitan el registro de credenciales sensibles.
Para las organizaciones que no pueden actualizar los paquetes de inmediato, se han sugerido varias soluciones.
Asegúrese de que los registros de servicios se procesen de forma segura con acceso restringido logLevel = loglevel = info en Microsoft.identity.Web Namespace.
Los expertos en seguridad recomiendan utilizar certificados de KeyVault o Certificados, o implementar credenciales de identidad federada con identidad administrada como una alternativa más segura.
El asesoramiento señala que “los registros de servicios están destinados a procesarse de manera segura”, destacando que las organizaciones con medidas de seguridad de registro apropiadas pueden no verse afectadas.
Sin embargo, esta vulnerabilidad se vuelve particularmente vulnerable cuando la web de identidad de Microsoft se usa ampliamente en las aplicaciones empresariales.
Esta vulnerabilidad destaca la importancia crítica de las prácticas seguras de registro, especialmente cuando se trata de credenciales de autenticación.
Las organizaciones que utilizan versiones afectadas de Microsoft Identity Web recomiendan encarecidamente que implementen las actualizaciones o soluciones necesarias para proteger sus credenciales de autenticación de posibles exposiciones.
La seguridad de la aplicación ya no es un juego defensivo, es tiempo seguro -> Seminario web gratuito
