La compañía mitiga fallos graves en Azure y Power Apps que evidencian los riesgos estructurales de los entornos cloud compartidos

Microsoft ha anunciado la corrección de cuatro vulnerabilidades críticas que afectaban a sus servicios en la nube, entre ellos Azure DevOps, Azure Automation, Azure Storage y Power Apps. Una de estas fallas, registrada como CVE-2025-29813, ha sido calificada con la puntuación máxima de gravedad según el sistema CVSS: 10 sobre 10, lo que la convierte en una de las más preocupantes detectadas recientemente en entornos cloud.

Este fallo afectaba directamente a Visual Studio y su gestión de tokens de ejecución (pipeline job tokens) en proyectos alojados en Azure DevOps. Un atacante con acceso mínimo podía intercambiar un token efímero por otro de larga duración, lo que permitía mantener un acceso persistente y escalar privilegios dentro del proyecto comprometido.

Además, Microsoft ha identificado otros tres fallos igualmente críticos:

• CVE-2025-29827 (CVSS 9,9), que afectaba a Azure Automation. Un problema de autorización (CWE-285) permitía a usuarios autenticados aumentar sus privilegios en entornos multiusuario, comprometiendo por completo runbooks y procesos automatizados.
• CVE-2025-29972 (CVSS 9,9), un caso de server-side request forgery (SSRF) en el servicio Azure Storage Resource Provider. Esta vulnerabilidad permitía suplantar servicios internos y obtener acceso indebido a otros recursos o identidades.
• CVE-2025-47733 (CVSS 9,1), otro SSRF que afectaba a Microsoft Power Apps. A diferencia de los anteriores, este fallo no requería autenticación, permitiendo la exfiltración de información mediante simples peticiones manipuladas.

Según ha confirmado la compañía, ninguna de estas vulnerabilidades ha sido explotada activamente, y todas han sido ya mitigadas del lado del proveedor, por lo que no se requiere intervención directa por parte de los usuarios.

No obstante, los expertos en ciberseguridad recomiendan a las organizaciones llevar a cabo una serie de buenas prácticas:

• Revisar registros de actividad en pipelines, runbooks y almacenamiento, en busca de accesos sospechosos o uso indebido de tokens.
• Aplicar rigurosamente el principio de mínimo privilegio en cuentas, identidades de servicio (service principals) y suscripciones.
• Separar entornos de desarrollo y producción para evitar que compromisos limitados escalen a infraestructuras críticas.
• Monitorizar alertas de herramientas como Defender for Cloud o soluciones SIEM que ayuden a detectar patrones asociados a SSRF o abuso de credenciales temporales.

Este nuevo incidente pone de manifiesto los riesgos inherentes a los entornos multi-tenant en la nube, donde múltiples clientes comparten infraestructura bajo un mismo sistema. La gestión segura de identidades, permisos y comunicaciones internas entre servicios se convierte así en un pilar fundamental de la ciberseguridad moderna.

Microsoft, en línea con su iniciativa “Secure Future”, ha reforzado su compromiso con la transparencia en la divulgación de vulnerabilidades. Desde mediados de 2024, la compañía publica identificadores CVE para fallos críticos en sus servicios cloud, incluso cuando no se requiere intervención de los clientes. Una práctica que Google también ha adoptado recientemente en Google Cloud, con el objetivo de promover una cultura de seguridad compartida y preventiva.

Estas decisiones reflejan un cambio significativo en la industria, que históricamente ha tendido a ocultar fallos mitigados si no implicaban riesgo inmediato para los usuarios. Hoy, tanto Microsoft como Google coinciden en que la información completa y anticipada sobre vulnerabilidades es esencial para mejorar la preparación defensiva del ecosistema digital.

Fuentes: MITRE CVE, Microsoft Security Response Center, Forbes, Hispasec Una al Día.

MITRE Corporation. CVE-2025-29813. Common Vulnerabilities and Exposures (CVE). https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-29813
MITRE Corporation. CVE-2025-29827. Common Vulnerabilities and Exposures (CVE). https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-29827
MITRE Corporation. CVE-2025-29972. Common Vulnerabilities and Exposures (CVE). https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-29972
MITRE Corporation. CVE-2025-47733. Common Vulnerabilities and Exposures (CVE). https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-47733