微软驳回Azure严重漏洞报告,阻挠CVE编号发布
IT之家 5 月 17 日消息,据科技媒体 BleepingComputer 昨天报道,一名安全研究员声称,微软驳回漏洞报告后,悄悄修复 Azure 的 Azure Kubernetes Service (AKS)备份服务漏洞,同时还阻挠该漏洞获得 CVE 编号。
安全研究员 Justin O'Leary 于今年 3 月发现这一漏洞,并在 3 月 17 日将相关报告提交给微软。他指出,Azure Kubernetes Service 备份服务存在严重提权 Bug,攻击者只需要最低权限的备份贡献者(Backup Contributor)角色,就能够获得 Kubernetes 集群管理员(cluster-admin)权限。
4 月 13 日,微软安全响应中心(IT之家注:MSRC)驳回该报告,声称该问题在攻击者“拥有管理员权限”下生效,因此构不成威胁。
而 Justin O'Leary 认为,微软的说法存在事实性错误。他解释称:“该漏洞允许完全没有 Kubernetes 权限的用户直接获得 cluster-admin 权限。 攻击过程中不需要现有集群权限 ,漏洞本身就能赋予这些权限”。
同时,微软曾将他提交给 MITRE 的报告描述为“含有 AI 生成内容”,完全没有解答报告中的技术细节。
遭到微软拒绝后,这名研究员将漏洞提交给美国 CERT 协调中心,该中心于 4 月 16 日独立验证了漏洞有效性,并分配 VU#284781 编号。
CERT 最初计划 6 月 1 日披露漏洞,但最终并未执行。据悉,微软 5 月 4 日联系了 MITRE,建议不要授予 CVE 编号,理由仍然是“攻击需要预先存在管理员权限”。
随后,基于 CNA(CVE 编号分配机构)层级规则,CERT 关闭该案例。使得作为 CNA 成员的微软,对自己产品的 CVE 编号拥有最终决定权。
而微软方面对此回应道:“我们评估认为这并非安全漏洞, 而是依赖客户环境中预先存在的管理员权限的预期行为 。因此我们没有进行任何产品更改,也未分配 CVE 或 CVSS 编号”。