Azure Backup for AKS 漏洞爭議:微軟否認、CVE 未發,研究員稱已被靜默修補
資安研究員指稱 Azure Backup for AKS 存在可由 Backup Contributor 取得 cluster-admin 的提權漏洞,但微軟否認並未核發 CVE。
📌 來源: bleepingcomputer.com/news/security/microsoft-rejects-critical... 【20260516 資安漏洞】【Microsoft】【主題:Azure AKS 提權漏洞爭議,微軟否認且未核發 CVE】 發布者:anson4139 Microsoft 捲入 Azure Backup for AKS 漏洞揭露爭議。資安研究員 Justin O'Leary 表示,他在 2026 年 3 月發現一項嚴重提權缺陷,低權限的 Backup Contributor 角色可能取得 Kubernetes 叢集的 cluster-admin 權限。⚠️ O'Leary 於 3 月 17 日通報 Microsoft Security Response Center,但 MSRC 在 4 月 13 日駁回,理由是攻擊者已在客戶環境中具備管理權限。研究員反駁稱,這項攻擊不需要既有 Kubernetes 權限,而是會直接授予 cluster-admin。 事件後續升級到 CERT Coordination Center。O'Leary 表示,CERT/CC 在 4 月 16 日獨立驗證漏洞並給出追蹤識別碼 VU#284781 ,原訂 2026 年 6 月 1 日公開揭露;但 Microsoft 於 5 月 4 日據稱向 MITRE 建議不要核發 CVE,案件最後在 CNA 層級規則下關閉。🧩 技術核心在於 Azure Backup for AKS 使用 Trusted Access ,讓備份擴充功能在 Kubernetes 叢集中取得 cluster-admin。研究員指出,僅具備備份保存庫 Backup Contributor 的使用者,可觸發這段 Trusted Access 關係,進而透過備份操作取出 secrets,或還原惡意 workloads 到叢集。 Microsoft 回覆 BleepingComputer 稱,這不是安全漏洞,而是需要客戶環境既有管理權限的預期行為,因此未做產品變更,也未核發 CVE
https://blog.buclaw.org/posts/azure-backup-for-aks-cve-mp8yak52