Tietoturvakonsultti väittää Microsoftin korjanneen hiljaa Azure Backup AKS-haavoittuvuuden hylättyään raportin. Microsoft kiistää korjanneensa mitään.
Tietoturvatutkija väittää Microsoftin korjanneen hiljaa Azure Backup for AKS -palvelun haavoittuvuuden sen jälkeen, kun yhtiö hylkäsi hänen raporttiensa. Microsoft ei myöntänyt CVE-tunnusta ongelmalle eikä tunnustanut haavoittuvuuden olemassaoloa.
Tutkijan mukaan haavoittuvuus mahdollisti luvattoman pääsyn Azure-resursseihin AKS-klustereiden varmuuskopiointipalvelun kautta. Microsoft väittää käyttäytymisen olleen odotettua eikä yhtiön mukaan tuotteeseen tehty muutoksia, vaikka tutkija dokumentoi hiljaisen korjauksen tapahtuneen.
Tapaus nostaa esiin kysymyksiä Microsoftin haavoittuvuusraportointiprosessista ja siitä, miten yhtiö käsittelee turvallisuusongelmia pilvipalveluissaan. Tutkija julkaisi yksityiskohtaisen analyysin tapauksesta todisteineen väitetystä hiljaisesta korjauksesta.
Microsoft kertoi BleepingComputerille, että käyttäytyminen oli suunniteltua ja ettei tuotteen toimintaa muutettu. Yhtiö ei kuitenkaan selittänyt tarkemmin, miksi tutkijan dokumentoimat muutokset palvelun toiminnassa tapahtuivat, jos korjauksia ei tehty.
Tärkeimmät pointit
- Azure Backup for AKS -palvelussa väitetty haavoittuvuus mahdollisti luvattoman pääsyn
- Microsoft hylkäsi haavoittuvuusraportin eikä myöntänyt CVE-tunnusta
- Tutkija dokumentoi hiljaisen korjauksen tapahtuneen Microsoftin kiistoista huolimatta
- Microsoft väittää käyttäytymisen olleen suunniteltua, ei tuotemuutoksia
- Tapaus herättää kysymyksiä Microsoftin haavoittuvuusraportointiprosessista
- Tutkija julkaisi yksityiskohtaisen analyysin todisteineen
Lähde: Bleeping Computer — alkuperäinen artikkeli julkaistu 16.5.2026
