Un chercheur en sécurité affirme que Microsoft a résolu silencieusement une vulnérabilité critique dans Azure Backup for AKS après avoir rejeté son rapport et bloqué l'émission d'un CVE, laissant les organisations sans une façon claire de mesurer leur exposition. Selon le chercheur, l'échec a permis d'alléger les privilèges du rôle de « contributeur de secours » de faible confiance aux permissions de cluster-admin dans Kubernetes, en exploitant la façon dont Azure met en place des relations Trusted Access pour les sauvegardes.
La technique décrite correspond à ce que la communauté connaît comme un type d'attaque Députée en conflit lorsque l'interaction entre Azure RBAC et Kubernetes RBAC brise les barrières d'autorisation attendues et permet une identité avec des permis limités pour activer l'élévation. Le rapport technique du chercheur explique comment activer le support de sauvegarde dans un cluster cible contraint Azure à créer des liens de confiance avec les privilèges d'administrateur dans Kubernetes, opérations qui pourraient être utilisées pour extraire des secrets ou restaurer des charges malveillantes dans le cluster; voir l'explication originale ici: olearysec.com.
La chronologie qui facilite le cas montre des tensions régulières dans les processus de divulgation responsable: la découverte initiale et l'expédition ont eu lieu en mars, Microsoft Security Response Center (MSRC) a rejeté la notation comme vulnérabilité au motif que l'attaque exigeait un accès administratif préalable, et la discussion a augmenté CERT / CC, qui a validé la défaillance et a attribué un identifiant (VU # 284781). Microsoft a ensuite demandé à MITRE de ne pas se voir attribuer un CVE, et l'application des règles de hiérarchie des CNA a laissé à Microsoft le pouvoir final de délivrer le CVE ou non; les règles CNA sont disponibles à l'adresse suivante: Cve.org. L'épisode a été rapporté publiquement par des médias spécialisés couvrant le différend et la correction apparente: Calculateur.
La chose la plus inquiétante pour les défenseurs est que, suite à la divulgation, le chercheur a observé des changements opérationnels qui ont empêché la reproduction de l'explosion originale: des étapes manuelles sont maintenant nécessaires pour configurer Trusted Access et des vérifications supplémentaires des autorisations apparaissent sur les identités gérées par le coffre et le cluster, ce qui suggère une correction appliquée du côté du fournisseur sans préavis officiel. Microsoft affirme qu'aucune « modification de produit » n'a été apportée parce que le comportement antérieur, tel qu'évalué, était attendu; le chercheur et le CERT/CC n'étaient pas d'accord avec cette interprétation.
Cette affaire a plusieurs implications pratiques et sécuritaires pour le gouvernement. Sans CVE ni avis public l'équipement de sécurité ne peut quantifier le nombre de ressources exposées, le guichet temporaire des risques ou l'ordre de priorité des mesures correctives fondées sur un inventaire touché. De plus, les corrections silencieuses rendent difficile la validation indépendante de l'atténuation et la réduction de la traçabilité juridique et opérationnelle dans les environnements réglementés. Le différend révèle également des frictions dans le triage des rapports, y compris la mention controversée du contenu "généré par l'AI" comme un facteur qui détourne de l'analyse technique.
Pour les équipes de sécurité qui gèrent AKS et Azure Backup, je recommande d'agir immédiatement : audit et liste de toutes les attributions du rôle contributeur de sauvegarde dans tous les coffres et abonnements, confirmez si une identité gérée (MSI) a des permis inattendus sur les groupes ou groupes de ressources de snapshots, et vérifiez la configuration Trusted Access dans les groupes AKS. Activer et examiner les journaux de contrôle d'accès, les liaisons RBAC changent les alertes et les opérations habilitantes de sauvegarde, et envisager des secrets / lettres d'identité tournantes qui auraient pu être compromises. Mettre en œuvre des politiques moins privilégiées et des restrictions administratives sur ceux qui peuvent activer les sauvegardes et gérer les identités de voûte, et utiliser Azure Policy et Azure Monitor pour automatiser la détection et le blocage des modifications non autorisées.
En outre, documenter et consigner toute interaction avec le fournisseur : demander la confirmation écrite des changements appliqués, des calendriers et de la portée de l'atténuation, et exiger des conseils techniques ou un CVE pour suivre l'exposition dans les outils de gestion de la vulnérabilité. Si vous gérez des environnements ayant des exigences de conformité, incluez cet examen dans les prochains processus de contrôle d'accès et de gestion des risques.
L'épisode met en évidence un besoin plus large : les programmes de sensibilisation et les hiérarchies des ACN doivent équilibrer la protection des écosystèmes et la transparence envers les clients. Tant qu'il n'y aura pas de mécanisme permettant d'harmoniser les mesures d'incitation pour signaler les corrections et de délivrer des CVE de manière impartiale, le cas échéant, les organisations et les défenseurs continueront de faire face à un Fenêtre de visibilité insuffisante qui complique l'atténuation efficace des risques liés aux nuages.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...