CVE-2025-21415: Kritieke fout in Azure AI Face Service

Microsoft heeft twee kritieke beveiligingsproblemen aangepakt die een potentiële bedreiging vormden voor zijn cloudgebaseerde services. De patches lossen beveiligingslekken op die van invloed zijn op Azure AI Face Service en Microsoft Account, Beide hadden kwaadwillende actoren in staat kunnen stellen om onder specifieke omstandigheden privileges te verhogen.

Details van de kwetsbaarheden

De twee kwetsbaarheden worden als volgt geïdentificeerd:

• CVE-2025-21396, CVSS-score: 7.5 – Microsoft-accountkwetsbaarheid voor misbruik van bevoegdheden
• CVE-2025-21415, CVSS-score: 9.9 – Azure AI Face Service-kwetsbaarheid voor misbruik van bevoegdheden

Volgens Microsoft, CVE-2025-21415 is het gevolg van een probleem met het omzeilen van authenticatie binnen de Azure AI Face Service. Onder bepaalde omstandigheden, een geautoriseerde aanvaller zou deze fout kunnen misbruiken om privileges over een netwerk te verhogen. De kwetsbaarheid werd ontdekt en gemeld door een anonieme onderzoeker.

Ondertussen, CVE-2025-21396 wordt veroorzaakt door ontbrekende autorisatiecontroles in het Microsoft Account-systeem. Deze fout zou een onbevoegde aanvaller in staat kunnen stellen om privileges over een netwerk te verhogen. Een beveiligingsonderzoeker met de naam Sugobet wordt gecrediteerd voor het identificeren van dit probleem.

Exploitatie en mitigatie

Microsoft heeft het bestaan van een proof-of-concept erkend (PoC) exploitcode voor CVE-2025-21415, bevestigend dat beide kwetsbaarheden volledig zijn verholpen. Belangrijk, Klanten hoeven geen aanvullende acties te ondernemen, omdat Microsoft de nodige beveiligingsupdates heeft toegepast.