Auf den Punkt: Microsoft blockiert die CVE-Vergabe für eine von CERT bestätigte Azure-Backup-Schwachstelle mit Privileg-Eskalationspotenzial, obwohl Dokumentation auf einen nachträglichen Fix hindeutet.
Ein Sicherheitsforscher wirft Microsoft vor, eine kritische Schwachstelle in Azure Backup für AKS stillschweigend gepatcht zu haben, nachdem er die Meldung zurückwies und die Vergabe einer CVE-Kennzeichnung blockierte. Die Lücke hätte es Angreifern mit der gering privilegierten Rolle "Backup Contributor" ermöglicht, Rechte bis zur Cluster-Administrator-Ebene auszuweiten.
Der Sicherheitsforscher Justin O’Leary entdeckte die Schwachstelle im März und meldete sie am 17. März 2026 an Microsoft. Das Microsoft Security Response Center (MSRC) lehnte die Meldung am 13. April ab und argumentierte, die Lücke ermögliche es einem Angreifer nur, Administrator-Rechte auf einem Cluster zu erlangen, auf dem er bereits Administratorzugriff hat. Diese Darstellung widerspricht O’Learys Befund erheblich: Tatsächlich könnten Benutzer ohne jegliche Kubernetes-Berechtigungen durch die Schwachstelle zu Cluster-Admin eskalieren – ohne dass zuvor Cluster-Zugriff notwendig wäre.
Microsoft bezeichnete O’Learys Meldung gegenüber MITRE als „KI-generierte Inhalte”, wie der Forscher mitteilt. Daraufhin kontaktierte O’Leary das CERT Coordination Center, das die Schwachstelle am 16. April unabhängig bestätigte und die Tracking-ID VU#284781 vergab. Ein öffentliche Offenlegung war für den 1. Juni 2026 geplant, fand aber nicht statt.
Am 4. Mai kontaktierten Microsoft-Mitarbeiter MITRE und empfahlen, keine CVE-Kennzeichnung zu erteilen – wieder mit dem Argument, dass administrative Zugriffsrechte erforderlich seien. O’Leary dokumentiert jedoch, dass Microsoft nach seiner Offenlegung neue Berechtigungsprüfungen hinzufügte und seine Exploits danach scheiterten, was auf einen nachträglichen Fix hindeutet. Microsoft erklärt dagegen, das beobachtete Verhalten sei beabsichtigt und „es wurden keine Produktänderungen vorgenommen”. Das CERT hält es dagegen für einen legitimen Fehler.
Der Fall illustriert ein Spannungsfeld zwischen Sicherheitsforschern und Herstellern: Während Microsoft die technische Substanz des Berichts in Frage stellt, liegen dokumentierte Hinweise auf ein stilles Patching vor, und eine unabhängige Behörde wie CERT/CC bestätigt die Legitimität der Meldung. Für Cloud-Administratoren, die Azure Backup für AKS einsetzen, bleibt die Situation unklar: Ohne CVE-Verlauf ist das Vorfallausmaß schwer zu bewerten, gleichzeitig sprechen die Anhaltspunkte für eine echte Privilegieeskalation.
Quelle: ainews-dev.lumi-systems.io · Erschienen 17. Mai 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.5.2.