微软Azure Kubernetes Service(AKS)作为全球云服务市场的核心玩家,是企业级容器编排的关键平台之一,其备份服务负责保障集群数据的安全与恢复。2026年3月17日,安全研究员Justin O'Leary向微软提交漏洞报告,指出AKS备份服务存在权限控制缺陷:低权限用户能借助备份作业的执行上下文绕过访问限制,直接获取cluster-admin权限——该权限可完全掌控集群内所有资源,包括修改配置、删除数据或部署恶意容器。
从事件时间线能清晰看到各方立场的分歧:4月13日,微软安全响应中心(MSRC)以“需预置管理员权限”为由驳回报告,称该行为属于产品设计的预期逻辑;4月16日,美国计算机应急响应小组(CERT)独立验证了漏洞的有效性,并分配VU#284781编号;5月4日,微软向漏洞编号机构MITRE提出异议,要求不授予CVE编号,之后CERT关闭了案例。到目前为止,微软既未修复该漏洞,也未发布CVSS评分,仅强调这是“预期功能”。
从技术层面看,这个漏洞的核心风险在于权限边界模糊:AKS备份服务为完成数据备份需要访问集群资源,但研究员发现其权限校验机制存在漏洞——普通用户可以利用备份任务的临时权限提升路径,绕过基于角色的访问控制(RBAC)检查。Gartner 2025年《云容器安全报告》显示,权限管理不当是容器服务安全事件的首要原因,占比达62%,而cluster-admin权限泄露可能导致企业核心数据丢失或业务中断。
这一事件的争议点在于如何界定“预期功能”和“安全漏洞”。微软的立场或许基于产品设计时的权限分配逻辑,但忽略了实际应用场景:企业通常会把备份服务权限授予非管理员运维人员,如果这个漏洞被利用,会造成严重的内部威胁。对比竞争对手,AWS在2025年底公开修复了Elastic Kubernetes Service(EKS)的类似权限漏洞,还主动分配了CVE编号,通过透明处理提升用户信任;Google Cloud也在2026年5月10日宣布对GKE备份服务进行全面权限审计,开放第三方安全测试通道。
行业近期动态显示,开源安全组织OpenSSF在2026年5月中旬发布了《云容器服务权限安全指南》,明确要求云厂商遵循最小权限原则,强化漏洞披露机制;国内云厂商阿里云也同步升级了ACK(容器服务Kubernetes版)的权限审计功能,新增实时权限异常检测模块。这些举措反映出行业对云服务安全透明度的更高要求,而微软的处理方式可能会影响其在企业级云市场的信任度——IDC 2026年Q1云服务满意度调查显示,用户对厂商漏洞响应速度的关注度已升至第二位,仅次于数据可靠性。
快报