Een beveiligingsonderzoeker beweert dat Microsoft in stilte een kwetsbaarheid in Azure Backup voor AKS heeft opgelost nadat zijn rapport was afgewezen en een CVE niet is uitgegeven.

De onderzoeker beschreef een kritieke fout in privilege-escalatie, waardoor iemand met de rol van “Backup Contributor” toegang had tot clusterbeheer. Microsoft ontkent dit en stelt dat het gedrag verwacht was, ondanks aanwijzingen van nieuwe permissiecontroles en mislukte aanvallen na de melding.

### CERT erkent het probleem, maar Microsoft blokkeert CVE

Justin O’Leary ontdekte het beveiligingsprobleem in maart en meldde het op 17 maart aan Microsoft. Het Microsoft Security Response Center wees het rapport op 13 april af. Ze beweerden dat de kwestie alleen speelde bij clusters waar de aanvaller al beheerdersrechten had, iets wat O’Leary onjuist noemt.

Hij stelde dat de kwetsbaarheid iemand zonder Kubernetes-rechten clusterbeheer kon geven. Na afwijzing wendde O’Leary zich tot het CERT Coordination Center, dat het probleem onafhankelijk valideerde en een identificatiecode, VU#284781, toekende.

CERT plande de openbaarmaking voor 1 juni 2026, maar die vond nooit plaats. Microsoft adviseerde tegen een CVE-uitgave, opnieuw met het argument dat bestaande beheerdersrechten nodig waren.

### Hoe de aanval werkte

Azure Backup voor AKS verleent via Trusted Access beheerdersrechten aan back-upuitbreidingen binnen Kubernetes-clusters. Volgens O’Leary kon de fout iedereen met alleen een Backup Contributor-rol deze Trusted Access activeren zonder bestaande rechten.

Een aanvaller kon een back-up inschakelen op een doel-AKS-cluster, waardoor Azure automatisch Trusted Access met clusterbeheerrechten configureerde. Dit stelde de aanvaller in staat om geheime informatie te verkrijgen of kwaadaardige workloads te herstellen.

O’Leary classificeerde het probleem als een “Confused Deputy”-kwetsbaarheid, waarbij vertrouwensgrenzen van Azure RBAC en Kubernetes RBAC werden omzeild.

### Microsoft zegt dat er geen veranderingen zijn doorgevoerd, maar de praktijk toont anders

Volgens Microsoft was er geen sprake van een beveiligingskwetsbaarheid en zijn er geen productwijzigingen doorgevoerd. Echter, na de bekendmaking van het rapport bleek dat de originele aanvalsmethode niet meer werkte en dat nieuwe foutmeldingen verschenen. Azure Backup voor AKS vereist nu handmatige configuratie van Trusted Access.

O’Leary zag ook nieuwe toestemmingcontroles die er voorheen niet waren. Het probleem lijkt te zijn opgelost, maar zonder publieke aankondiging of klantmelding van Microsoft.

### Het probleem met zichtbaarheid voor verdedigers

Zonder een CVE of advies blijven verdedigers in het duister over de blootstellingsperiode of tijdlijn voor herstel. Organisaties die tussen een onbekende startdatum en mei 2026 de rol van Backup Contributor verleenden, liepen risico op privilege-escalatie.

De case benadrukt een structureel probleem, zonder gemakkelijke oplossing. Meningsverschillen tussen onderzoekers en grote leveranciers over kwetsbaarheden zijn de laatste jaren toegenomen. Zonder een ecosysteem waarin iedereen gestimuleerd wordt tot verantwoordelijke openbaarmaking, dreigt het een moeizaam proces te worden dat niemand echt helpt.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.