SchwachstellenCloud-SicherheitCybersicherheit

Azure-Sicherheitslücke: Microsoft lehnt kritischen Bericht ab und blockiert CVE-Vergabe

Von CyberDeutsch Redaktion
Azure-Sicherheitslücke: Microsoft lehnt kritischen Bericht ab und blockiert CVE-Vergabe
Zusammenfassung

Ein Sicherheitsforscher hat eine kritische Sicherheitslücke in Microsoft Azure Backup für AKS entdeckt, die es Benutzern mit eingeschränkten Berechtigungen ermöglichte, sich erhöhte Administratorrechte zu verschaffen. Microsoft lehnte die Sicherheitsmitteilung ab und argumentierte, dass es sich um erwartetes Verhalten handele, das bereits vorhandene Administratorrechte voraussetze – eine Charakterisierung, die der Forscher als faktisch falsch bestreitet. Besonders bemerkenswert ist, dass Microsoft die Vergabe einer CVE-Nummer (Common Vulnerabilities and Exposures) blockierte, wodurch die Sicherheitslücke der Öffentlichkeit und Sicherheitsteams verborgen blieb. Obwohl der Forscher dokumentiert hat, dass die Sicherheitslücke inzwischen behoben wurde – neue Sicherheitsprüfungen wurden implementiert und frühere Angriffsmethoden funktionieren nicht mehr – erfolgte keine offizielle Benachrichtigung oder Sicherheitswarnung. Dies ist besonders problematisch für deutsche Unternehmen und Behörden, die Azure-Dienste nutzen, da sie ohne CVE-Informationen keine Möglichkeit haben, ihre Exposition gegenüber dieser Schwachstelle zu bewerten oder nachzuverfolgen. Der Fall verdeutlicht ein strukturelles Problem im Vulnerability-Disclosure-Prozess, das die Intransparenz bei der Behebung von Sicherheitslücken durch große Technologiekonzerne aufzeigt.

Silent Patch statt transparenter Disclosure

Der Fall der Azure-Backup-Anfälligkeit zeigt ein wachsendes Problem in der Sicherheitsbranche: Konflikte zwischen unabhängigen Sicherheitsforschern und großen Technologiekonzernen über die Bewertung von Sicherheitsmängeln. Justin O’Leary meldete die Anfälligkeit (CWE-441, Confused Deputy Vulnerability) am 17. März Microsoft. Der Fehler ermöglichte es, die vertrauensbasierte Zugriffsfunktion (Trusted Access) von Azure zu missbrauchen und automatisch Cluster-Admin-Berechtigungen zu erhalten.

Microsoft lehnte den Bericht am 13. April ab und behauptete, die Anfälligkeit erfordere bereits vorhandene Administrator-Privilegien. Diese Darstellung bezeichnete O’Leary als faktisch falsch: “Die Anfälligkeit ermöglicht es einem Benutzer ohne Kubernetes-Berechtigungen, Cluster-Admin zu werden. Der Angriff erfordert keine bestehende Cluster-Zugriffe – er gewährt sie.”

Zusätzlich beschrieb Microsoft die Einreichung gegenüber MITRE als “KI-generiert”, ohne auf die technischen Merkmale einzugehen. O’Leary eskalierte die Angelegenheit zur CERT Coordination Center, die die Anfälligkeit unabhängig validierte und eine Kennung (VU#284781) vergab.

CVE-Blockade durch CNA-Hierarchie

Das entscheidende Problem: CERT/CC musste den Fall schließen, da Microsoft selbst eine CVE Numbering Authority (CNA) ist und damit letzte Autorität über CVE-Vergaben für eigene Produkte hat. Obwohl eine öffentliche Offenlegung für Juni 2026 geplant war, wurde sie nie durchgeführt. Microsoft empfahl MITRE im Mai erneut gegen eine CVE-Vergabe.

Um so überraschender: Nach Veröffentlichung von O’Learys Bericht beobachtete dieser, dass die ursprüngliche Exploit-Methode nicht mehr funktioniert. Azure verlangt nun manuelle Konfiguration des Trusted Access, und neue Permission-Checks wurden hinzugefügt. Dies deutet auf einen stillen Patch hin – ohne je eine Warnung zu veröffentlichen.

“Organisationen, die Backup Contributor zwischen einem unbekannten Zeitpunkt und Mai 2026 gewährten, waren exponiert”, schreibt O’Leary. Ohne CVE können Sicherheitsteams diese Exposition nicht nachverfolgbar. Das schadet Kunden, nicht Anbietern.

Ein wachsendes strukturelles Problem

Der Fall ist symptomatisch für eine größere Dysfunktion: Massive Report-Volumen bei Disclosure-Programmen, KI-gestützte automatisierte Reports, die manuelle Triage überlasten, und Machtverhältnisse, die große Anbieter bevorzugen. Ohne realignment der Anreize für alle Parteien wird verantwortungsvolle Offenlegung zur bürokratischen Übung – zum Schaden der betroffenen Organisationen, die im Dunkeln bleiben.

Ähnliche Artikel