Microsoft Tolak Laporan Kerentanan Kritis Azure Backup, Peneliti Klaim Adanya “Silent Patch”

Sebuah perselisihan sengit terjadi antara peneliti keamanan dan Microsoft terkait kerentanan kritis pada layanan Azure Backup untuk AKS (Azure Kubernetes Service). Peneliti mengklaim Microsoft diam-diam telah memperbaiki celah eskalasi hak akses tersebut setelah sebelumnya menolak laporan bug-nya dan memblokir penerbitan kode Common Vulnerabilities and Exposures (CVE).

Kerentanan ini dinilai sangat berbahaya karena memungkinkan pengguna dengan peran rendah (low-privileged) seperti “Backup Contributor” untuk melompat dan mengambil alih kontrol penuh klaster sebagai “cluster-admin”.

Mekanisme Serangan: Eksploitasi “Confused Deputy”

Azure Backup untuk AKS menggunakan fitur Trusted Access untuk memberikan izin kepada ekstensi pencadangan di dalam klaster Kubernetes. Berdasarkan temuan peneliti bernama Justin O’Leary:

1. Tanpa Izin Awal: Penyerang yang hanya memiliki peran Backup Contributor pada backup vault sebenarnya sama sekali tidak memiliki izin akses di dalam Kubernetes.
2. Memicu Hubungan Kepercayaan: Namun, celah ini memungkinkan mereka memicu hubungan Trusted Access secara sepihak dengan mengaktifkan fitur pencadangan pada klaster AKS target.
3. Pengambilalihan Klaster: Secara otomatis, Azure akan mengonfigurasi Trusted Access dengan hak akses cluster-admin. Dari titik ini, penyerang dapat mengekstrak data sensitif (secrets) melalui operasi pencadangan atau menyisipkan beban kerja berbahaya (malicious workloads) ke dalam klaster.

O’Leary mengategorikan masalah ini sebagai kerentanan Confused Deputy (CWE-441), di mana batas otorisasi antara Azure RBAC (Role-Based Access Control) dan Kubernetes RBAC berinteraksi dengan cara yang keliru sehingga melewati kendali keamanan yang seharusnya.

Microsoft Blokir CVE Walau CERT Memvalidasi Bug

Kronologi pengungkapan ini menunjukkan adanya benturan birokrasi antara vendor besar dan komunitas keamanan:

• 17 Maret: O’Leary menemukan dan melaporkan celah ini ke Microsoft Security Response Center (MSRC).
• 13 April: MSRC menolak laporan tersebut dengan alasan serangan membutuhkan akses administrator prasyarat—sebuah klaim yang dibantah keras oleh O’Leary karena celah ini justru yang memberikan akses admin dari nol. Microsoft bahkan sempat melabeli laporan tersebut ke MITRE sebagai “konten buatan AI” tanpa mendalami substansi teknisnya.
• 16 April: O’Leary meneruskan laporan ke CERT Coordination Center (CERT/CC). CERT secara independen memvalidasi kerentanan tersebut dan memberikan kode pelacakan VU#284781.
• 4 Mei: Staf Microsoft menghubungi MITRE dan merekomendasikan pembatalan penerbitan CVE. Karena Microsoft memegang otoritas sebagai CNA (CVE Numbering Authority) untuk produknya sendiri, kasus akhirnya ditutup oleh CERT/CC demi mematuhi hirarki aturan CNA.

Indikasi Kuat Adanya “Silent Patch”

Meskipun juru bicara Microsoft secara resmi menyatakan kepada BleepingComputer bahwa sistem tersebut “berjalan sesuai desain dan tidak ada perubahan produk yang dilakukan,” bukti di lapangan menunjukkan hal sebaliknya setelah laporan ini dibuka ke publik bulan ini.

O’Leary menemukan bahwa jalur serangan yang sama kini sudah tidak dapat digunakan dan menghasilkan pesan eror baru:

Plaintext

ERROR: UserErrorTrustedAccessGatewayReturnedForbidden
"The Trusted Access role binding is missing/has gotten removed"

Azure Backup untuk AKS sekarang mewajibkan fitur Trusted Access untuk dikonfigurasi secara manual terlebih dahulu sebelum proses pencadangan bisa diaktifkan. Selain itu, ditemukan adanya pemeriksaan izin baru (additional permission checks) yang sebelumnya tidak ada pada pengujian bulan Maret 2026.

Dampak dan Risiko bagi Tim Pertahanan (Defenders)

Praktik silent patching (memperbaiki bug tanpa pengumuman resmi) seperti ini memicu kritik keras dari komunitas keamanan karena merugikan tim pengelola IT di sisi konsumen.

“Organisasi yang memberikan peran Backup Contributor antara tanggal rilis awal yang tidak diketahui hingga Mei 2026 berada dalam posisi rentan terhadap eskalasi hak akses ini. Tanpa adanya kode CVE, tim keamanan tidak dapat melacak jendela paparan risiko (exposure window) tersebut. Silent patching hanya melindungi vendor, bukan pelanggan.” — Justin O’Leary

Bagi perusahaan yang bergantung pada Azure untuk infrastruktur kontainer mereka, sangat disarankan untuk melakukan audit mendalam terhadap akun-akun yang memegang peran Backup Contributor selama beberapa bulan terakhir guna memastikan tidak ada aktivitas eskalasi yang mencurigakan.