微软驳回 Azure 严重漏洞报告，阻挠 CVE 编号发布

东苑

据科技媒体 BleepingComputer 昨天报道，一名安全研究员声称，微软驳回漏洞报告后，悄悄修复 Azure 的 Azure Kubernetes Service （AKS）备份服务漏洞，同时还阻挠该漏洞获得 CVE 编号。



安全研究员 Justin O'Leary 于今年 3 月发现这一漏洞，并在 3 月 17 日将相关报告提交给微软。他指出，Azure Kubernetes Service 备份服务存在严重提权 Bug，攻击者只需要最低权限的备份贡献者（Backup Contributor）角色，就能够获得 Kubernetes 集群管理员（cluster-admin）权限。

4 月 13 日，微软安全响应中心（IT之家注：MSRC）驳回该报告，声称该问题在攻击者“拥有管理员权限”下生效，因此构不成威胁。

而 Justin O'Leary 认为，微软的说法存在事实性错误。他解释称：“该漏洞允许完全没有 Kubernetes 权限的用户直接获得 cluster-admin 权限。攻击过程中不需要现有集群权限，漏洞本身就能赋予这些权限”。

同时，微软曾将他提交给 MITRE 的报告描述为“含有 AI 生成内容”，完全没有解答报告中的技术细节。

遭到微软拒绝后，这名研究员将漏洞提交给美国 CERT 协调中心，该中心于 4 月 16 日独立验证了漏洞有效性，并分配 VU#284781 编号。

CERT 最初计划 6 月 1 日披露漏洞，但最终并未执行。据悉，微软 5 月 4 日联系了 MITRE，建议不要授予 CVE 编号，理由仍然是“攻击需要预先存在管理员权限”。

随后，基于 CNA（CVE 编号分配机构）层级规则，CERT 关闭该案例。使得作为 CNA 成员的微软，对自己产品的 CVE 编号拥有最终决定权。

而微软方面对此回应道：“我们评估认为这并非安全漏洞，而是依赖客户环境中预先存在的管理员权限的预期行为。因此我们没有进行任何产品更改，也未分配 CVE 或 CVSS 编号”。

wing6

看看新闻

com2

谢谢楼主分享！