Ein Sicherheitsforscher behauptet, dass Microsoft still löste eine kritische Sicherheitslücke in Azure Backup für AKS, nachdem er seinen Bericht abgelehnt und die Ausgabe einer CVE blockiert hatte, so dass Organisationen ohne eine klare Möglichkeit, ihre Exposition zu messen. Nach Angaben des Forschers erlaubte das Versagen, Privilegien von der Low-Confidence "Backup-Contributor"-Rolle zu Cluster-Admin-Berechtigungen in Kubernetes zu skalieren, die Nutzung der Art, wie Azure Trusted Access-Beziehungen für Backups einrichtet.
Die beschriebene Technik passt zu dem, was die Gemeinschaft als eine Art Angriff kennt Konfiszierter Stellvertreter wo die Interaktion zwischen Azure RBAC und Kubernetes RBAC die erwarteten Genehmigungsbarrieren bricht und eine Identität mit begrenzten Genehmigungen ermöglicht, die Erhebung zu aktivieren. Der eigene technische Bericht des Forschers erklärt, wie man Backup-Unterstützung in einem Ziel-Cluster aktiviert, der Azure gezwungen ist, Vertrauensverknüpfungen mit Administrator-Privilegien in Kubernetes zu erstellen, Operationen, die verwendet werden könnten, um Geheimnisse zu extrahieren oder schädliche Belastungen im Cluster wiederherzustellen; siehe die ursprüngliche Erklärung hier: olearysec.com.
Die Chronologie, die den Fall erleichtert, zeigt regelmäßige Spannungen bei verantwortlichen Offenlegungsprozessen: Die erste Entdeckung und Sendung erfolgte im März, Microsoft Security Response Center (MSRC) lehnte die Bewertung als Schwachstelle aus dem Grund ab, dass der Angriff erforderte vorherigen administrativen Zugriff, und die Diskussion eskalierte CERT / CC, die den Ausfall validiert und eine Kennung zugewiesen (VU # 284781). Microsoft fragte dann MITRE nicht eine CVE zugewiesen werden, und die Anwendung von CNAs Hierarchie-Regeln verließ Microsoft mit der endgültigen Macht, um die CVE oder nicht; CNA-Regeln sind verfügbar unter: Cve.org. Die Folge wurde öffentlich von spezialisierten Medien berichtet, die den Streit und die offensichtliche Korrektur abdecken: BlepingComputer.
Am beunruhigendsten für die Verteidiger ist, dass der Forscher nach der Offenlegung operative Veränderungen beobachtete, die die Reproduktion der Originalexplosion verhinderten: manuelle Schritte sind jetzt erforderlich, um Trusted Access zu konfigurieren und zusätzliche Berechtigungsprüfungen erscheinen auf den durch den Tresor und den Cluster verwalteten Identitäten, die eine angewandte Korrektur auf der Seite des Lieferanten ohne formale Ankündigung vorschlagen. Microsoft sagt, dass keine "Produktänderungen" gemacht wurden, weil das bisherige Verhalten, wie bewertet, erwartet wurde; der Forscher und CERT / CC stimmten dieser Interpretation nicht zu.
Dieser Fall hat mehrere praktische und sicherheitspolitische Auswirkungen. Ohne eine CVE oder öffentliche Beratung Sicherheitsausrüstung kann die Anzahl der verfügbaren Ressourcen, das temporäre Risikofenster nicht quantifizieren oder Abhilfemaßnahmen auf der Grundlage eines betroffenen Inventars priorisieren. Darüber hinaus machen stille Korrekturen es schwierig, die Minderung unabhängig zu validieren und die rechtliche und operative Rückverfolgbarkeit in regulierten Umgebungen zu reduzieren. Der Streit zeigt auch Reibungen in der Triage von Berichten, einschließlich der kontroversen Erwähnung von Inhalt "generiert durch IA" als Faktor, der von der technischen Analyse ablenkt.
Für Sicherheitsteams, die AKS und Azure Backup verwalten, empfehle ich sofort zu handeln: Audit und liste alle Aufgaben der Rolle Backup-Beitrag in allen Gewölben und Abonnements bestätigen, ob eine verwaltete Identität (MSI) unerwartete Genehmigungen auf Clustern oder Gruppen von Snapshots-Ressourcen hat und die Trusted Access-Konfiguration in den AKS-Clustern überprüft. Aktivieren und überprüfen Sie Zugriffskontrollprotokolle, RBAC-Bindungen ändern Alarme und Backup-Funktionen, und betrachten Sie rotierende Geheimnisse / Anmeldeinformationen, die möglicherweise beeinträchtigt wurden. Ergänzen Sie weniger privilegierte Richtlinien und administrative Einschränkungen, die Backups aktivieren und Fehleridentitäten verwalten können, und verwenden Sie Azure Policy und Azure Monitor, um die Erkennung und Blockierung von unberechtigten Änderungen zu automatisieren.
Darüber hinaus dokumentieren und erfassen Sie jede Interaktion mit dem Lieferanten: fordern Sie eine schriftliche Bestätigung der vorgenommenen Änderungen, Zeitrahmen und Minderungsumfang an und benötigen technische Beratung oder eine CVE, um die Exposition in Sicherheitsmanagement-Tools zu verfolgen. Wenn Sie Umgebungen mit Compliance-Anforderungen verwalten, enthalten Sie diese Überprüfung in den nächsten Audit- und Risikomanagement-Prozessen der Zugriffskontrolle.
Die Folge zeigt einen breiteren Bedarf: CNAs Outreach Programme und Hierarchien müssen den Ökosystemschutz und die Transparenz gegenüber den Kunden ausgleichen. Solange es keinen Mechanismus gibt, der Anreize ausrichtet, Korrekturen zu melden und CVEs gegebenenfalls unparteiisch auszustellen, werden Organisationen und Verteidiger sich weiterhin einer Nicht ausreichende Sichtfenster die eine effektive Cloud-Risikominderung erschwert.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...