Η Microsoft απέρριψε κρίσιμη ευπάθεια Azure, χωρίς CVE

Ο ερευνητής ασφαλείας Justin O'Leary ισχυρίζεται ότι η Microsoft διόρθωσε αθόρυβα μια ευπάθεια στο Azure Backup for AKS (Azure Kubernetes Service), αφού πρώτα απέρριψε την αναφορά του και απέτρεψε την έκδοση CVE. Η αναφορά περιγράφει ένα κρίσιμο σφάλμα κλιμάκωσης δικαιωμάτων που επέτρεπε πρόσβαση cluster-admin ξεκινώντας από τον χαμηλόβαθμο ρόλο "Backup Contributor".

Η ανακάλυψη και η απόρριψη

Ο O'Leary ανακάλυψε το σφάλμα τον Μάρτιο του 2025 και το ανέφερε στη Microsoft στις 17 Μαρτίου. Το Κέντρο Αντιμετώπισης Ασφαλείας της Microsoft (Microsoft Security Response Center, MSRC) απέρριψε την αναφορά στις 13 Απριλίου, ισχυριζόμενο ότι το ζήτημα αφορούσε μόνο την απόκτηση πρόσβασης cluster-admin σε cluster όπου "ο επιτιθέμενος ήδη κατείχε πρόσβαση διαχειριστή" — χαρακτηρισμό τον οποίο ο O'Leary αναφέρει ότι παραποιεί πλήρως τον τρόπο λειτουργίας της επίθεσης.

Το Azure Backup for AKS χρησιμοποιεί Trusted Access για να παραχωρεί σε επεκτάσεις backup δικαιώματα cluster-admin εντός των Kubernetes clusters. Ο O'Leary κατέταξε το ζήτημα ως ευπάθεια τύπου Confused Deputy (CWE-441), όπου τα όρια εμπιστοσύνης του Azure RBAC και του Kubernetes RBAC αλληλεπιδρούσαν με τρόπο που παρακάμπτει τους αναμενόμενους ελέγχους εξουσιοδότησης.

Επικύρωση από CERT/CC και παρέμβαση στη MITRE

Μετά την απόρριψη, ο O'Leary κλιμάκωσε το ζήτημα στο CERT Coordination Center (CERT/CC), το οποίο επαλήθευσε ανεξάρτητα την ευπάθεια στις 16 Απριλίου και, σύμφωνα με τον ερευνητή, της απέδωσε το αναγνωριστικό VU#284781. Το CERT/CC είχε αρχικά ορίσει δημόσια αποκάλυψη για την 1η Ιουνίου 2026, αλλά αυτή δεν πραγματοποιήθηκε ποτέ.

Στις 4 Μαΐου, στελέχη της Microsoft φέρεται να επικοινώνησαν με τη MITRE συνιστώντας να μην εκδοθεί CVE, επικαλούμενοι εκ νέου το επιχείρημα ότι το ζήτημα προϋπέθετε διαχειριστική πρόσβαση. Το CERT/CC έκλεισε στη συνέχεια την υπόθεση βάσει κανόνων ιεραρχίας CNA (CVE Numbering Authority), αφήνοντας ουσιαστικά τη Microsoft — η οποία είναι CNA — με τελικό έλεγχο της έκδοσης CVE για τα δικά της προϊόντα.

Αθόρυβη διόρθωση; Η Microsoft αρνείται

Η Microsoft αμφισβητεί τον ισχυρισμό, δηλώνοντας στο BleepingComputer ότι η συμπεριφορά ήταν αναμενόμενη και ότι "δεν έγιναν αλλαγές στο προϊόν", παρά το γεγονός ότι ο ερευνητής τεκμηρίωσε νέους ελέγχους δικαιωμάτων και αποτυχημένες απόπειρες εκμετάλλευσης μετά την αποκάλυψη — ενδείξεις αθόρυβης διόρθωσης.

Η Microsoft δήλωσε χαρακτηριστικά: «Η αξιολόγησή μας κατέληξε στο συμπέρασμα ότι πρόκειται για αναμενόμενη συμπεριφορά που απαιτεί προϋπάρχοντα διαχειριστικά δικαιώματα εντός του περιβάλλοντος του πελάτη. Ως εκ τούτου, δεν έγιναν αλλαγές στο προϊόν και δεν εκδόθηκαν CVE ή βαθμολογία CVSS.»

Ωστόσο, μετά τη δημόσια αποκάλυψη της αναφοράς τον Μάιο, ο O'Leary παρατήρησε ότι το αρχικό μονοπάτι επίθεσης δεν λειτουργεί πλέον. «Η τρέχουσα συμπεριφορά επιστρέφει σφάλματα που δεν υπήρχαν τον Μάρτιο του 2025», αναφέρει, με χαρακτηριστικό μήνυμα: ERROR: UserErrorTrustedAccessGatewayReturnedForbidden.

Η υπόθεση αναδεικνύει ένα δομικό πρόβλημα: όταν ο ίδιος ο κατασκευαστής λογισμικού είναι CNA, έχει de facto βέτο στην έκδοση CVE για ευπάθειες των δικών του προϊόντων — ακόμα και όταν ανεξάρτητοι οργανισμοί, όπως το CERT/CC, έχουν επιβεβαιώσει το πρόβλημα.

Πηγές

• BleepingComputer — Microsoft rejects critical Azure vulnerability report, no CVE issued