Pesquisador revela falha crítica no Azure Backup da Microsoft
Um pesquisador de segurança, Justin O’Leary, alegou que a Microsoft corrigiu silenciosamente uma vulnerabilidade crítica no Azure Backup para AKS, que permitia a escalada de privilégios de um papel de ‘Backup Contributor’ para acesso de cluster-admin. O’Leary reportou a falha em março de 2023, mas a Microsoft rejeitou seu relatório, afirmando que a questão envolvia apenas acesso administrativo pré-existente. No entanto, O’Leary contesta essa afirmação, afirmando que a vulnerabilidade permitia que usuários sem permissões no Kubernetes obtivessem acesso de administrador. Após a rejeição, O’Leary escalou o problema para o CERT Coordination Center, que validou a vulnerabilidade, mas a Microsoft recomendou contra a emissão de um CVE. A falha permitia que um atacante ativasse o acesso de backup em um cluster AKS, configurando automaticamente privilégios de cluster-admin, o que poderia resultar na extração de segredos ou na restauração de cargas de trabalho maliciosas. Embora a Microsoft tenha afirmado que não houve mudanças no produto, O’Leary observou que o comportamento do sistema mudou após a divulgação, indicando que a vulnerabilidade pode ter sido corrigida sem aviso público. Isso levanta preocupações sobre a visibilidade das falhas de segurança e a proteção dos clientes, uma vez que a falta de um CVE dificulta o rastreamento e a mitigação de exposições. A situação destaca um problema estrutural nas relações entre pesquisadores de segurança e grandes fornecedores, onde a falta de um framework claro pode deixar organizações vulneráveis.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).