Microsoft rejects critical Azure vulnerability report, no CVE issued
Mis à jour :
Opacité de Microsoft face à une vulnérabilité critique sur Azure Backup
Un chercheur en sécurité, Justin O’Leary, a révélé une faille d’élévation de privilèges dans le service « Azure Backup for AKS » permettant à un utilisateur disposant du rôle « Backup Contributor » d’obtenir un accès cluster-admin sur un cluster Kubernetes, sans privilèges préalables. Malgré la validation de cette vulnérabilité par le CERT/CC (identifiant VU#284781), Microsoft a rejeté le rapport, a fait obstruction à la publication d’un CVE et a procédé à un correctif silencieux tout en niant l’existence d’une faille.
Points clés :
- Vecteur d’attaque : La vulnérabilité reposait sur l’utilisation du mécanisme Trusted Access d’Azure, qui accordait automatiquement des droits
cluster-adminau service de sauvegarde lors de son activation. Un attaquant pouvait ainsi exploiter cette confiance pour extraire des secrets ou déployer des charges malveillantes. - Comportement de Microsoft : Le géant technologique a nié toute faille, arguant que l’exploitation nécessitait des privilèges administratifs préalables (ce que le chercheur dément formellement).
- Correction silencieuse : Bien que Microsoft nie toute modification, le chercheur a constaté que le comportement du service a été modifié : le Trusted Access doit désormais être configuré manuellement et des vérifications de permissions supplémentaires ont été ajoutées.
- Risque pour les clients : L’absence de CVE et d’avis de sécurité empêche les entreprises d’évaluer leur période d’exposition et de vérifier si elles ont été compromises avant le correctif.
Vulnérabilités :
- Type : Élévation de privilèges (CWE-441 : Confused Deputy).
- CVE : Aucun (Microsoft a bloqué l’émission).
- Identifiant tiers : VU#284781 (CERT/CC).
Recommandations :
- Audit des accès : Vérifiez les logs d’activité Azure pour identifier toute utilisation suspecte du rôle « Backup Contributor » sur vos clusters AKS.
- Surveillance renforcée : Étant donné l’absence de transparence sur les correctifs, les équipes de sécurité doivent monitorer activement les changements de configuration de leurs services cloud et durcir les politiques RBAC (Role-Based Access Control) même pour les services managés.
- Exigence de transparence : Les organisations utilisant les services cloud doivent exiger des fournisseurs une meilleure visibilité sur les correctifs de sécurité, afin de ne pas dépendre uniquement des communications officielles des éditeurs.