🔥 この記事の詳細
2026-05-19 更新
C
月内に

セキュリティ研究者のJustin O'Leary氏が、Azure Backup for AKSにおける特権昇格の脆弱性を報告しましたが、MicrosoftがCV…

脆弱性🌐 英語ソース📰 2記事🌐 2 countries
🇷🇺 Russia · 🇺🇸 US
🖥️ 製品Azure
📅 2026-05-19📰 xakep
📌 一言でいうと
セキュリティ研究者のJustin O'Leary氏が、Azure Backup for AKSにおける特権昇格の脆弱性を報告しましたが、MicrosoftがCVEを割り当てずに密かに修正したと主張しています。この脆弱性は、低権限の「Backup Contributor」ロールを持つユーザーが、Kubernetesクラスター内で最高権限である「cluster-admin」権限を不正に取得できるものでした。攻撃者はこれにより、クラスター内のシークレット抽出や悪意のあるワークロードの展開が可能になります。
🔍該当判定
  • Microsoft Azureを利用している
  • Azure上でKubernetes (AKS) を運用している
  • AKSのバックアップ機能 (Azure Backup for AKS) を有効にしている
上記いずれにも該当しない → 静観でOK
該当時の対応
Azure Backup for AKSの最新の状態を確認し、不必要な権限(特にBackup Contributor)が過剰に付与されていないか、最小権限の原則に基づいた権限レビューを実施することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Azure Backup for AKS における特権昇格の脆弱性について

お疲れさまです。Azure Backup for AKSに関する脆弱性情報について共有いたします。

■ 概要
低権限の「Backup Contributor」ロールを持つユーザーが、Trusted Accessメカニズムを悪用してKubernetesクラスター内で「cluster-admin」権限を不正に取得できる脆弱性が報告されました。Microsoftは本件を密かに修正したとされており、公式なCVEは割り当てられていません。

■ 影響範囲
- Azure Backup for AKS を利用している環境

■ 対応手順
1. Azure環境におけるロール割り当てを確認し、不要なユーザーに「Backup Contributor」権限が付与されていないかレビューしてください。
2. 最小権限の原則に基づき、権限設定を最適化してください。

■ 参考情報
- xakep (Justin O'Leary氏の報告に基づく)

対応優先度: 中
対応期限: 次回定期レビュー時まで
Subject: [Info] Privilege Escalation Vulnerability in Azure Backup for AKS

Dear team,

We are sharing information regarding a vulnerability in Azure Backup for AKS.

■ Overview
Security researcher Justin O'Leary reported a flaw where a user with the 'Backup Contributor' role could escalate privileges to 'cluster-admin' within a Kubernetes cluster by exploiting the Trusted Access mechanism. It is claimed that Microsoft patched this silently without issuing a CVE.

■ Scope
- Environments utilizing Azure Backup for AKS

■ Recommended Actions
1. Review role assignments in your Azure environment to ensure the 'Backup Contributor' role is not over-provisioned.
2. Enforce the principle of least privilege (PoLP) for all backup-related roles.

■ Reference
- Report by Justin O'Leary via xakep

Priority: Medium
Deadline: Next scheduled security review
📰 関連する 1 件の記事
bleepingセキュリティ研究者がAzure Backup for AKSにおける特権昇格の脆弱性を報告しましたが、Microsoftはこれを拒否しCVE…
🔗 元の記事を読む
← トップへ戻る🗓 2026-05-19 のまとめ🔍 記事を検索