🗓️ Contexte
Article publié le 16 mai 2026 sur BleepingComputer. Il relate le cas du chercheur en sécurité Justin O’Leary, qui a découvert en mars 2026 une vulnérabilité critique dans Azure Backup for AKS (Azure Kubernetes Service) et dont le rapport a été rejeté par Microsoft, sans émission de CVE ni d’advisory public.
🔍 Détail de la vulnérabilité
La faille, classifiée comme Confused Deputy (CWE-441), exploite l’interaction entre Azure RBAC et Kubernetes RBAC :
- Un utilisateur disposant uniquement du rôle Backup Contributor sur un vault de sauvegarde pouvait déclencher une relation Trusted Access avec des privilèges cluster-admin sur un cluster AKS cible.
- L’attaquant n’avait besoin d’aucune permission Kubernetes préexistante.
- Une fois l’accès obtenu, il était possible d’extraire des secrets via des opérations de sauvegarde ou de restaurer des workloads malveillants dans le cluster.
📅 Chronologie
- 17 mars 2026 : Rapport soumis au Microsoft Security Response Center (MSRC).
- 13 avril 2026 : Rejet par MSRC, qui qualifie l’attaque de nécessitant un accès administrateur préexistant.
- 16 avril 2026 : CERT/CC valide indépendamment la vulnérabilité et lui attribue l’identifiant VU#284781, avec une divulgation publique prévue au 1er juin 2026.
- 4 mai 2026 : Des représentants de Microsoft contactent MITRE pour recommander de ne pas émettre de CVE, en réitérant l’argument de l’accès administrateur préexistant.
- Mai 2026 : CERT/CC clôture le dossier en vertu des règles de hiérarchie CNA, laissant à Microsoft l’autorité finale sur l’émission de CVE pour ses propres produits.
⚠️ Correction silencieuse présumée
Malgré la déclaration officielle de Microsoft indiquant qu’aucun changement produit n’a été effectué, O’Leary a constaté après divulgation que :
- Le chemin d’attaque original ne fonctionne plus (erreur
UserErrorTrustedAccessGatewayReturnedForbidden). - Azure Backup for AKS exige désormais une configuration manuelle de Trusted Access avant l’activation de la sauvegarde.
- De nouvelles vérifications de permissions ont été ajoutées (Reader sur le cluster AKS et le resource group de snapshots, Contributor sur le resource group de snapshots pour le MSI du cluster).
🏛️ Enjeux structurels
L’absence de CVE ou d’advisory public prive les équipes de sécurité de toute visibilité sur la fenêtre d’exposition. Les organisations ayant accordé le rôle Backup Contributor entre une date inconnue et mai 2026 ont été exposées à une escalade de privilèges sans en être informées.
📌 Type d’article
Cet article est un rapport de vulnérabilité combinant une analyse technique et une investigation journalistique, visant à documenter une faille non reconnue publiquement et une correction silencieuse présumée de la part de Microsoft.
🧠 TTPs et IOCs détectés
TTP
- T1078.004 — Valid Accounts: Cloud Accounts (Defense Evasion)
- T1530 — Data from Cloud Storage (Collection)
- T1548 — Abuse Elevation Control Mechanism (Privilege Escalation)
🟡 Indice de vérification factuelle : 50/100 (moyenne)
- ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
- ✅ 6118 chars — texte complet (15pts)
- ⬜ aucun IOC extrait (0pts)
- ⬜ pas d’IOC à vérifier (0pts)
- ✅ 3 TTPs MITRE identifiées (15pts)
- ⬜ date RSS ou approximée (0pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://www.bleepingcomputer.com/news/security/microsoft-rejects-critical-azure-vulnerability-report-no-cve-issued/