Seorang peneliti keamanan mengklaim Microsoft diam-diam memperbaiki kerentanan Azure Backup untuk AKS setelah menolak laporannya, dan memblokir penerbitan CVE.
Laporan peneliti menjelaskan kelemahan eskalasi hak istimewa kritis yang memungkinkan akses admin klaster dari peran “Kontributor Cadangan” dengan hak istimewa rendah.
Microsoft membantah klaim tersebut, mengatakan kepada BleepingComputer bahwa perilaku tersebut sudah diduga dan bahwa “tidak ada perubahan produk yang dilakukan,” meskipun peneliti mendokumentasikan pemeriksaan izin baru dan upaya eksploitasi yang gagal setelah pengungkapan, yang menunjukkan patch diam.
CERT setuju bahwa ini adalah bug, tetapi Microsoft memblokir CVE
Peneliti keamanan Justin O’Leary menemukan kelemahan keamanan Maret ini, dan melaporkannya ke Microsoft pada 17 Maret.
Microsoft Security Response Center (MSRC) menolak laporan tersebut pada tanggal 13 April, mengklaim bahwa masalah tersebut hanya melibatkan perolehan admin cluster pada sebuah cluster di mana “penyerang telah memiliki akses administrator,” sebuah karakterisasi yang menurut O’Leary salah menggambarkan serangan tersebut secara keseluruhan.
“Ini sebenarnya tidak benar,” kata peneliti.
“Kerentanan ini memungkinkan pengguna tanpa izin Kubernetes untuk mendapatkan admin klaster. Serangan ini tidak memerlukan akses klaster yang ada — namun memberikannya.”
O’Leary lebih lanjut mengatakan bahwa Microsoft menggambarkan pengajuan ke MITER sebagai “konten yang dihasilkan AI”, sesuatu yang menurutnya tidak membahas manfaat teknis dari laporan tersebut.
Setelah penolakan tersebut, O’Leary meningkatkan masalahnya menjadi Pusat Koordinasi CERTyang secara independen memvalidasi kerentanan pada tanggal 16 April dan, menurut peneliti, memberinya pengenal, VU#284781:
(Justin O’Leary)
CERT/CC awalnya menjadwalkan pengungkapan publik pada 1 Juni 2026, namun pengungkapan tersebut tidak pernah terjadi.
Pada tanggal 4 Mei, staf Microsoft dilaporkan menghubungi MITER untuk merekomendasikan penugasan CVE, sekali lagi dengan alasan bahwa masalah tersebut memerlukan akses administratif yang sudah ada sebelumnya:
(Justin O’Leary)
CERT/CC kemudian menutup kasus tersebut Aturan hierarki CNAsecara efektif meninggalkan Microsoft (yang merupakan CNA) dengan kewenangan akhir atas penerbitan CVE untuk produknya sendiri.
Bagaimana serangan itu berhasil
Azure Backup untuk penggunaan AKS Akses Tepercaya untuk memberikan hak istimewa admin klaster ekstensi cadangan di dalam klaster Kubernetes.
Menurut O’Leary, kelemahan tersebut memungkinkan siapa pun yang hanya memiliki peran Kontributor Cadangan di brankas cadangan untuk memicu hubungan Akses Tepercaya tersebut tanpa harus memiliki izin Kubernetes.
Penyerang dapat mengaktifkan pencadangan pada kluster AKS target, menyebabkan Azure secara otomatis mengonfigurasi Akses Tepercaya dengan hak istimewa admin kluster. Dari sana, penyerang dapat mengekstrak rahasia melalui operasi pencadangan atau memulihkan beban kerja berbahaya ke dalam cluster.
O’Leary mengklasifikasikan masalah ini sebagai a Deputi yang bingung kerentanan (CWE-441), di mana batas kepercayaan Azure RBAC dan Kubernetes RBAC berinteraksi dengan cara yang melewati kontrol otorisasi yang diharapkan.
Microsoft mengatakan tidak ada perubahan yang dilakukan, perilaku mengatakan sebaliknya
BleepingComputer menghubungi Microsoft untuk memahami apakah raksasa teknologi tersebut menganggap temuan ini sebagai kerentanan keamanan yang valid.
Seorang juru bicara Microsoft mengatakan kepada BleepingComputer:
“Penilaian kami menyimpulkan bahwa ini bukan kerentanan keamanan, melainkan perilaku yang diharapkan yang memerlukan hak administratif yang sudah ada sebelumnya dalam lingkungan pelanggan. Oleh karena itu, tidak ada perubahan produk yang dilakukan untuk mengatasi laporan ini dan tidak ada skor CVE atau CVSS yang dikeluarkan.”
Namun, setelah pengungkapan laporannya bulan ini, O’Leary mengamati bahwa jalur serangan aslinya tidak lagi berfungsi.
“Perilaku saat ini menghasilkan kesalahan yang tidak terjadi pada bulan Maret 2026,” ia menyatakan:
KESALAHAN: UserErrorTrustedAccessGatewayReturnedForbidden
“Pengikatan peran Akses Tepercaya tidak ada/telah dihapus”
Menurut O’Leary, Azure Backup untuk AKS kini memerlukan Akses Tepercaya untuk dikonfigurasi secara manual sebelum pencadangan dapat diaktifkan, sehingga membalikkan perilaku sebelumnya saat Azure mengonfigurasinya secara otomatis.
Dia juga mengamati pemeriksaan izin tambahan yang tidak ada selama pengujian aslinya pada bulan Maret. Vault MSI sekarang memerlukan izin Pembaca pada kluster AKS dan grup sumber daya snapshot, sedangkan MSI kluster AKS memerlukan izin Kontributor pada grup sumber daya snapshot.
Dengan kata lain, kerentanan tampaknya telah diperbaiki, namun Microsoft belum mengeluarkan nasihat publik atau memberi tahu pelanggan.
Masalah visibilitas bagi para pembela HAM
Tanpa CVE atau nasihat, para pembela HAM hanya mempunyai sedikit visibilitas terhadap jangka waktu pemaparan atau jangka waktu remediasi.
“Organisasi yang memberikan Kontributor Cadangan antara tanggal mulai yang tidak diketahui hingga Mei 2026 akan terkena peningkatan hak istimewa,” tulis peneliti.
“Tanpa CVE, tim keamanan tidak dapat melacak paparan ini. Patch diam-diam melindungi vendor, bukan pelanggan.”
Kasus ini menyoroti masalah struktural yang tidak mudah diperbaiki.
Perselisihan antara peneliti keamanan dan vendor besar tingkat keparahan, eksploitasi, dan pengungkapan yang berlebihan telah menjadi hal yang umum dalam beberapa tahun terakhir, terutama ketika program pengungkapan kerentanan menghadapi peningkatan volume laporan.
Beberapa pengelola sumber terbuka juga secara terbuka mengeluhkan hal ini Laporan yang dibantu AI sangat banyak sistem bug bounty dan triase keamanan, sehingga mempersulit temuan yang sah untuk mendapat perhatian tepat waktu. Kasus dimana teknologi besar diabaikan menambal kelemahan yang valid meskipun telah dilakukan kontak berulang kali oleh peneliti yang berbeda juga merupakan hal yang biasa.
Tanpa kerangka kerja yang dapat menyelaraskan kembali insentif bagi semua pihak, pengungkapan informasi yang bertanggung jawab berisiko menjadi sebuah upaya birokrasi yang tidak akan menguntungkan siapa pun—apalagi bagi semua organisasi yang tidak mengetahui apa-apa.
Kesenjangan Validasi: Pentesting Otomatis Menjawab Satu Pertanyaan. Anda Membutuhkan Enam.
Alat pentesting otomatis memberikan nilai nyata, namun alat tersebut dibuat untuk menjawab satu pertanyaan: dapatkah penyerang bergerak melalui jaringan? Mereka tidak dibuat untuk menguji apakah kontrol Anda memblokir ancaman, aturan deteksi Anda diaktifkan, atau konfigurasi cloud Anda dipertahankan.
Panduan ini mencakup 6 permukaan yang sebenarnya perlu Anda validasi.
