2026年4月、Sysdigの脅威リサーチチーム（TRT）は、Azure VMの「VMAccess」によるパスワードリセット処理の命名仕様にまつわる検知の欠陥を発見しました。

Azure PortalやCLIなど、Microsoftのツール間で拡張機能のデフォルトの命名規則が異なっていることに起因し、Azureはデプロイ時にこのリソース名の検証を行っていません。そのため、攻撃者は拡張機能に無害な任意の名前を付けてパスワードをリセットし、既存の検知ルールを完全に回避して被害環境への永続化が可能となります。さらに、書き込み成功時のアクティビティログには拡張機能のパブリッシャーやタイプが含まれず、Microsoft公式の検知ガイダンスにあるログも出力されません。

Microsoftは「仕様」として脆弱性を否定したため、Sysdigは対策として、リソース名に依存せずすべての拡張機能書き込み操作（extensions/write）の監視や、Resource Graphとの相関分析を行うことを推奨しています。