رفضت شركة Microsoft تقريراً أمنياً يفيد بوجود ثغرة حرجة مزعومة في خدمة Azure Backup for AKS، مؤكدة أن السلوك المُبلغ عنه لا يمثل خللاً أمنياً. وفي المقابل، أكد الباحث الأمني “جاستن أوليري” أن هذا الخلل كان يتيح تصعيداً خطيراً للصلاحيات داخل عناقيد Kubernetes، انطلاقاً من دور منخفض نسبياً في Azure.
أبلغ الباحث مركز Microsoft للاستجابة الأمنية (MSRC) في 17 مارس 2026 بخلل يسمح لمستخدم يمتلك دور Backup Contributor على مخزن النسخ الاحتياطي بالحصول على صلاحيات cluster-admin داخل عنقود AKS، دون الحاجة لامتلاك صلاحيات سابقة في Kubernetes. غير أن Microsoft رفضت البلاغ في 13 أبريل 2026، معتبرة أن هذا السيناريو يتطلب صلاحيات إدارية موجودة مسبقاً داخل بيئة العميل.
من جانبه، أوضح أوليري أن توصيف Microsoft غير دقيق؛ إذ إن مسار الاستغلال، وفقاً لعرضه الفني، لا يعتمد على صلاحيات Kubernetes سابقة، بل يكتسبها عبر علاقة “Trusted Access” المستخدمة في Azure Backup for AKS. وتوضح وثائق Microsoft الرسمية أن هذه الآلية تتيح لمخزن النسخ الاحتياطي التواصل مع عنقود AKS عبر هوية مدارة وصلاحيات محددة، مشيرة إلى أن عمليات النسخ الاحتياطي والاستعادة تتطلب أدواراً على العنقود ومجموعة موارد اللقطات وحساب التخزين.
وذكر الباحث أن مركز تنسيق CERT/CC تحقق من البلاغ في 16 أبريل 2026 وخصص له المعرف VU#284781، قبل أن يغلق الملف لاحقاً استناداً إلى قواعد التسلسل الخاصة بجهات ترقيم CVE، وهو ما أبقى القرار النهائي عملياً بيد Microsoft بصفتها جهة الترقيم المعتمدة لمنتجاتها. كما أشار أوليري إلى أن Microsoft أوصت منظمة MITRE في 4 مايو 2026 بعدم إصدار معرف CVE لهذا البلاغ.
وفي الوقت الذي تنفي فيه Microsoft إجراء أي تعديلات لمعالجة التقرير، نقلت تقارير عن متحدث باسم الشركة أن التقييم خلص إلى أن المسألة مجرد “سلوك متوقع” يتطلب صلاحيات إدارية مسبقة، ولذلك لم تصدر الشركة معرف CVE أو درجة تقييم CVSS. وفي المقابل، صرح أوليري بأنه تحقق في 12 مايو 2026 وتأكد من أن مسار الهجوم الأصلي لم يعد يعمل، وأن الخدمة باتت تعرض أخطاء جديدة وتتطلب إعداد Trusted Access يدوياً قبل تفعيل النسخ الاحتياطي.
وأضاف الباحث أن السلوك الحالي للخدمة يتضمن فحوصات صلاحيات إضافية لم تكن موجودة أثناء اختباره في مارس 2026، ومنها اشتراط صلاحية Reader لهوية مخزن النسخ الاحتياطي على عنقود AKS ومجموعة موارد اللقطات، وصلاحية Contributor لهوية عنقود AKS على مجموعة موارد اللقطات. وتظهر وثائق Microsoft الخاصة بمتطلبات Azure Backup for AKS أدواراً مشابهة ضمن نموذج الصلاحيات المطلوب لإتمام عمليات النسخ الاحتياطي والاستعادة.
وتكمن أهمية هذه القضية في غياب نشرة أمنية أو معرف CVE يمكن لفرق الدفاع السيبراني الاعتماد عليه لتحديد فترة التعرض للثغرة، أو تقييم مدى تأثر بيئاتها الرقمية بها. وإذا صح وصف الباحث، فإن المؤسسات التي منحت دور Backup Contributor خلال الفترة محل الخلاف قد تحتاج إلى مراجعة سجلات تفعيل النسخ الاحتياطي، وعلاقات Trusted Access، فضلاً عن رصد أي عمليات استعادة أو وصول غير معتاد إلى أسرار نظام Kubernetes.
