5 月 17 日消息,科技媒体 BleepingComputer 昨日披露,有安全研究人员发现,微软在拒绝承认某个漏洞后,暗中修复了 Azure Kubernetes Service(AKS)备份服务的问题,并试图阻止为该漏洞分配 CVE 编号。
安全研究员 Justin O’Leary 在今年 3 月发现了这个漏洞,并于 3 月 17 日向微软提交了详细报告。据他描述,Azure Kubernetes Service 的备份服务存在一个严重的权限提升缺陷,攻击者只需拥有最低权限的“备份贡献者”(Backup Contributor)角色,就能直接获得 Kubernetes 集群管理员(cluster-admin)权限。
4 月 13 日,微软安全响应中心(MSRC)驳回了这一报告,称该问题只有在攻击者“已具备管理员权限”时才会被触发,因此不构成安全威胁。
然而 Justin O’Leary 认为,微软的说法与事实不符。他强调:“这个漏洞允许一个完全没有 Kubernetes 任何权限的用户,直接获得 cluster-admin 权限。攻击过程并不需要已有的集群权限,漏洞本身就能赋予这些权限。”
此外,微软曾将他提交给 MITRE 的报告内容标注为“含有 AI 生成内容”,但并未对报告中的技术细节作出任何实质回应。
在被微软拒绝后,这名研究员转将漏洞提交给了美国 CERT 协调中心。该中心于 4 月 16 日独立验证了漏洞的有效性,并为其分配了编号 VU#284781。
CERT 原本计划在 6 月 1 日公开这一漏洞,但最终未能执行。据了解,微软于 5 月 4 日联系了 MITRE,建议不要为该漏洞分配 CVE 编号,理由依然是“攻击需要预先存在管理员权限”。
随后,根据 CNA(CVE 编号分配机构)的分级规则,CERT 关闭了该案例。这意味着,作为 CNA 成员的微软,对其自身产品的 CVE 编号拥有最终决定权。
微软方面对此回应称:“我们认为这并非安全漏洞,而是依赖客户环境中已有管理员权限的预期行为。因此我们没有对产品做任何修改,也没有分配 CVE 或 CVSS 编号。”
