Kurumsal bulut hizmetlerinde kritik bir güvenlik zafiyeti, Microsoft’un raporu reddetmesi ve CVE numarası tahsisini engellemesi nedeniyle kamuoyundan gizli kaldı. Araştırmacı Justin O’Leary’nin Mart 2026’da keşfettiği ve CERT Koordinasyon Merkezi tarafından da doğrulanan bu Azure güvenlik açığı, düşük ayrıcalıklı bir kullanıcının Kubernetes kümesinde tam yönetici yetkileri elde etmesine olanak tanıyordu. Microsoft ise bu bulguyu “beklenen davranış” olarak nitelendirirken şirketin sistem davranışlarında sessiz değişiklikler yaptığı ve hiçbir kamuoyu bildirimi yayınlamadığı ortaya çıktı.

Backup Contributor Rolündeki Kullanıcılar Küme Yöneticisi Yetkisi Kazanabiliyor

Azure Backup for AKS hizmeti, Kubernetes kümeleri içinde yedekleme işlemlerinin çalışması için Trusted Access adlı bir mekanizma kullanıyor. O’Leary’nin keşfine göre, yalnızca Backup Contributor rolüne sahip bir kullanıcı, herhangi bir Kubernetes iznine sahip olmadan Trusted Access ilişkisini tetikleyebiliyordu. Bu Trusted Access zafiyeti, saldırganın hedef AKS kümesinde yedeklemeyi etkinleştirmesiyle birlikte Azure’un otomatik olarak küme yöneticisi ayrıcalıkları yapılandırmasına neden oluyordu.

Saldırgan bu noktadan sonra yedekleme işlemleri aracılığıyla küme içindeki gizli bilgilere erişebiliyor veya kötü amaçlı iş yüklerini kümeye yerleştirebiliyordu. O’Leary, bu güvenlik açığını Azure RBAC ile Kubernetes RBAC arasındaki güven sınırlarının beklenen yetkilendirme kontrollerini atladığı bir Confused Deputy hatası olarak sınıflandırdı. Araştırmacı, zafiyetin sıfır Kubernetes iznine sahip bir kullanıcıya küme yöneticisi yetkileri verdiğini, Microsoft’un iddia ettiği gibi önceden var olan yönetici erişimi gerektirmediğini vurguladı.

Microsoft’un Reddi ve CERT Sürecinin Engellenmesi Güven Aşındırıyor

O’Leary, 17 Mart 2026’da Microsoft Güvenlik Yanıt Merkezi’ne bildirdiği zafiyete 13 Nisan’da yanıt aldı. Microsoft, sorunu “saldırganın zaten yönetici erişimine sahip olduğu bir durum” olarak nitelendirerek reddetti. Araştırmacı ayrıca Microsoft’un başvurusunu MITRE’ye “yapay zeka tarafından oluşturulmuş içerik” olarak tanımladığını, bunun da raporun teknik içeriğine hiç girilmediğini gösterdiğini söyledi. Microsoft’un reddinin ardından O’Leary konuyu CERT Koordinasyon Merkezi’ne taşıdı.

CERT/CC, 16 Nisan’da zafiyeti bağımsız şekilde doğrulayarak CERT VU284781 numarasını atadı ve 1 Haziran 2026’da kamuya açıklama yapmayı planladı. Ancak 4 Mayıs’ta Microsoft yetkilileri MITRE’ye CVE verilmemesi yönünde tavsiyede bulundu. CERT/CC, CNA hiyerarşi kuralları gereği davayı kapattı ve Microsoft’un kendi ürünleri için nihai CVE karar mercii olduğu teyit edildi. Bu durum, bağımsız sertifikasyon kurumlarının bile büyük teknoloji şirketlerinin kararlarını geçersiz kılamadığını gösteren önemli bir örnek olarak kayıtlara geçti.

Sessiz Yamalar Müşterileri Karanlıkta Bırakmaya Devam Ediyor

Microsoft sözcüsü BleepingComputer’a yaptığı açıklamada, “Bu bir güvenlik zafiyeti değil, müşteri ortamında önceden var olan yönetici ayrıcalıkları gerektiren beklenen bir davranıştır” ifadelerini kullandı. Ancak O’Leary, iddiasını kamuya açıkladıktan sonra sistem davranışlarının önemli ölçüde değiştiğini gözlemledi. Mart 2026’da çalışan saldırı vektörü artık işlemezken sistem “UserErrorTrustedAccessGatewayReturnedForbidden” hatası döndürüyor.

O’Leary’nin analizine göre, bilinmeyen bir başlangıç tarihi ile Mayıs 2026 arasında Backup Contributor yetkisi veren tüm kuruluşlar potansiyel olarak bu ayrıcalık yükseltme zafiyetine maruz kaldı. Araştırmacı, sessiz yama eleştirisini dile getirerek “CVE olmadan güvenlik ekipleri bu maruziyeti takip edemez. Sessiz yamalar satıcıları korur, müşterileri değil” uyarısında bulundu. Bu vaka, büyük teknoloji şirketleri ile bağımsız güvenlik araştırmacıları arasındaki ilişkideki derin sorunları yeniden gündeme taşırken özellikle yapay zeka destekli raporların artmasıyla birlikte güvenlik açığı bildirim sistemlerinin adeta felç olduğu eleştirilerini de beraberinde getiriyor.