Varnostni raziskovalec je javno opozoril na sporno ravnanje Microsofta glede kritične varnostne ranljivosti v storitvi Azure Backup za Azure Kubernetes Service (AKS). Kljub temu, da je podjetje po navedbah raziskovalca ranljivost potihoma odpravilo, je uradno zavrnilo poročilo in ni izdalo CVE številke.
Raziskovalec je dokumentiral ranljivost, ki bi lahko napadalcem omogočila nepooblaščen dostop do varnostnih kopij v Azure okolju. Gre za resno varnostno pomanjkljivost, ki bi lahko imela daljnosežne posledice za podjetja, ki uporabljajo Azure Kubernetes Service za orkestracijo kontejnerjev in zaščito kritičnih podatkov.
Microsoft je na poročilo odgovoril z zavrnitvijo, pri čemer je navedel, da gre za pričakovano obnašanje sistema in da “niso bile izvedene nobene spremembe produkta”. To stališče je v očitnem nasprotju z dokumentacijo raziskovalca, ki jasno kaže, da je bila ranljivost v vmesnem času odpravljena.
BleepingComputer je pridobil komentar Microsofta, v katerem podjetje vztrajno zanika obstoj varnostne ranljivosti. Takšen pristop sproža vprašanja o preglednosti in odgovornosti tehnoloških velikanov pri obravnavi varnostnih incidentov.
Odsotnost CVE številke predstavlja dodatno težavo za varnostne strokovnjake, ki se zanašajo na standardizirano sledenje ranljivostim. Brez uradnega identifikatorja je sledenje in preverjanje popravkov v podjetniških okoljih precej oteženo.
Za administratorje Azure okolij je priporočljivo, da temeljito pregledajo konfiguracijo Azure Backup za AKS in preverijo, ali so implementirane najnovejše varnostne posodobitve. Svetuje se tudi redno spremljanje dostopnih pravic do varnostnih kopij ter implementacija dodatnih varnostnih plasti, kot so omrežna segmentacija in napredna avtentikacija.
Incident odpira širšo razpravo o procesih razkrivanja ranljivosti pri največjih ponudnikih storitev v oblaku in potrebi po večji transparentnosti pri obravnavi varnostnih poročil raziskovalcev.
Vir: https://www.bleepingcomputer.com/news/security/microsoft-rejects-critical-azure-vulnerability-report-no-cve-issued/
Originalna objava: 2026-05-16
Članek je pripravljen na osnovi tujega vira s pomočjo AI in prilagojen za slovenskega bralca.