Μια ευπάθεια υψηλής σοβαρότητας στην εφαρμογή Azure Single Sign-On του Κέντρου διαχείρισης των Windows έχει εκθέσει τις εικονικές μηχανές Azure και τα συστήματα που συνδέονται με το Arc σε μη εξουσιοδοτημένη πρόσβαση σε ολόκληρους ενοικιαστές.
Η Cymulate Research Labs ανακάλυψε το ελάττωμα, το οποίο τώρα παρακολουθείται ως CVE-2026-20965, το οποίο δείχνει πώς η ακατάλληλη επικύρωση διακριτικών μπορεί να καταρρεύσει τα όρια ασφαλείας μεταξύ μεμονωμένων μηχανών και πλήρων περιβαλλόντων Azure.
Η Microsoft επιδιορθώνει το ζήτημα μέσω του Windows Admin Center Azure Extension v0.70.00 στις 13 Ιανουαρίου 2026, μετά την αποκάλυψη της Cymulate τον Αύγουστο του 2025. Όλες οι μη επιδιορθωμένες αναπτύξεις κάτω από αυτήν την έκδοση παραμένουν εκτεθειμένες.
| Αναγνωριστικό CVE | Περιγραφή | Αυστηρότητα | Βαθμολογία CVSS | Εκδόσεις που επηρεάζονται | Κηλίδα |
|---|---|---|---|---|---|
| CVE-2026-20965 | Η ακατάλληλη επικύρωση διακριτικού στο WAC Azure SSO επιτρέπει την ανάμειξη κλεμμένου διακριτικού WAC.CheckAccess με πλαστό διακριτικό PoP για πλευρική κίνηση. | Ψηλά | Δεν έχει δημοσιευθεί ακόμη | v0.70.00 |
Η εκμετάλλευση απαιτεί τοπικό διαχειριστή σε μια μηχανή Azure VM ή Arc με δυνατότητα WAC, καθώς και έναν προνομιούχο χρήστη που συνδέεται μέσω του Azure Portal. Δεν αναφέρθηκε άγρια εκμετάλλευση, αλλά συνιστάται η αναδρομική ανίχνευση, Cymulate προστέθηκε.
Το Κέντρο διαχείρισης των Windows χρησιμοποιεί δύο διακριτικά: WAC.CheckAccess (επαληθεύει την πρόσβαση βάσει ρόλων μέσω UPN) και διακριτικό δεσμευμένο σε PoP (το ζεύγος κλειδιών που δημιουργείται από το πρόγραμμα περιήγησης εμποδίζει την επανάληψη).
Τα ελαττώματα περιλαμβάνουν την απουσία αντιστοίχισης UPN μεταξύ των διακριτικών, την αποδοχή των διακριτικών PoP μεταξύ ενοικιαστών, τις διευθύνσεις URL που δεν είναι πύλης στο PoP (π.χ. απευθείας IP μέσω της θύρας 6516), τις επαναχρησιμοποιούμενες nonces και το WAC.CheckAccess που παρέχει πρόσβαση σε όλο τον μισθωτή.
Η πρόσβαση JIT εκθέτει τη θύρα 6516 σε όλες τις IP, όχι μόνο σε DNS πύλης, επιτρέποντας την άμεση πλαστογραφία χωρίς ανακάλυψη DNS. Αυτό καταρρίπτει την απομόνωση VM, επιτρέποντας την πλαστοπροσωπία των διαχειριστών σε ομάδες πόρων.
Αλυσίδα επίθεσης
- Απόρριψη πιστοποιητικού WAC, διακοπή υπηρεσίας, εκτέλεση απατεώνων διακομιστή.
- Καταγράψτε το διακριτικό WAC.CheckAccess του διαχειριστή κατά τη σύνδεση της πύλης.
- Αριθμήστε στόχους μέσω μεταδεδομένων/υποδικτύου.
- Σφυρηλατήστε το PoP χρησιμοποιώντας ενοικιαστή εισβολέα: δημιουργήστε κλειδιά, δεσμεύστε μέσω διακριτικού ανανέωσης, εισαγάγετε αναγνωριστικό/IP πόρου στόχου.
- Στείλτε το InvokeCommand με μικτά tokens για RCE σε οποιοδήποτε προσβάσιμο μηχάνημα WAC.
- Επαναλάβετε για την αλυσίδα.
Επιτρέπει την πλευρική μετακίνηση, την κλιμάκωση των προνομίων, την κλοπή διαπιστευτηρίων, τον συμβιβασμό μεταξύ των συνδρομών και τη διαφυγή μέσω πλαστών UPN.
Οδηγίες ανίχνευσης
Παρακολούθηση για εικονικούς λογαριασμούς WAC, όπως το [email protected], υποδεικνύοντας κατάχρηση.
Ερώτημα KQL για ύποπτες συνδέσεις:
textDeviceLogonEvents
| where Timestamp > ago(30d)
| where AccountName has "@"
| where not(AccountName has "")
| project Timestamp, DeviceName, AccountName, ActionType, LogonType
| order by Timestamp desc
Επισήμανση ανώμαλης δραστηριότητας WAC: νέες ταυτότητες σε στόχους, αιχμές InvokeCommand σε αξιόπιστα περιβάλλοντα.
ΔΟΕ:
- Η θύρα 6516 ανοίγει μέσω JIT NSG (όλες οι πηγές).
- Διαδικασίες/υπηρεσίες Rogue WAC.
- Μικτές συνδέσεις UPN.
- Επαναχρησιμοποίηση διακριτικού PoP χωρίς εμβέλεια.
Άμεση ενημέρωση σε έκδοση 0.70.00. Βελτιώστε το NSG/JIT σε πύλη μόνο. Παρακολουθήστε τα αρχεία καταγραφής WAC για ανωμαλίες.
Αυτό το ελάττωμα υπογραμμίζει τους κινδύνους του Azure SSO: τα λεπτά κενά επικύρωσης επιτρέπουν τους κεντρικούς άξονες από τοπικό σε σύννεφο, παρακάμπτοντας την τμηματοποίηση. Δώστε προτεραιότητα στις δοκιμές επιδιόρθωσης και προσομοίωσης.
