Windows Admin Center(WAC)向けの Microsoft Azure AD シングルサインオン実装における重大な脆弱性により、ローカル管理者権限を持つ攻撃者が認証メカニズムを回避し、同一の Azure テナント内にある任意のマシンへ不正アクセスできる状態となっていました。
CVE-2026-20965として追跡されているこの欠陥は、未修正の WAC Azure Extension バージョン 0.70.00 未満を実行しているすべての Azure 仮想マシンおよび Arc 接続システムに影響します。
この脆弱性は、Azure SSO 認証中に使用される 2 つのアクセストークンを Windows Admin Center が適切に検証できていないことに起因します。WAC には WAC が必要です。
WAC は、ユーザー権限を検証するための WAC. Check the Access token と、ブラウザー生成キーに暗号学的にバインドされた Proof-of-Possession(PoP)トークンを要求します。しかし、システムは両方のトークンが同一のユーザーIDに属することを検証しません。
この見落としにより、攻撃者は特権管理者から盗んだ WAC. Check the Access token と、自身で偽造した PoP トークンを組み合わせ、正当な Azure 資格情報なしに被害者になりすますことが可能になりました。これは実質的に被害者をなりすましするものです。
Just-in-Time アクセス構成により、WAC API ポート(6516)がすべての送信元 IP に公開され、ゲートウェイ DNS を知らなくても直接アクセスできる状態になっていました。
悪用が成功するには、攻撃者が WAC をインストールした Azure VM または Arc 接続マシン上でローカル管理者権限を保持し、その後、特権ユーザーが Azure Portal から Windows Admin Center を介して接続を開始するのを待つ必要がありました。
被害者のトークンが取得されると、攻撃者は権限を昇格し、管理者権限でリモートコマンドを実行し、侵害されたIDがアクセス可能な WAC 有効化マシンすべてへ横展開できました。
Cymulate により報告 されたとおり、この手法は論理的なクラウド境界を突破し、分離された仮想マシンからリソースグループ全体やサブスクリプション全体へとピボットすることを可能にしました。
偽造されたリクエストは被害者テナント内に存在しないユーザーから発生しており、追跡可能性が大幅に低下し、検知を困難にしていました。
Microsoft は 2026 年 1 月 14 日にリリースされた Windows Admin Center Azure Extension バージョン 0.70.00 でこの脆弱性を修正しました。
セキュリティチームは影響を受けるシステムを直ちに更新し、UPN 形式 WAC_[identity]@[tenant].onmicrosoft.com に従う不審な仮想アカウント作成を監視すべきです。特に、不明なテナントドメインや外部テナントドメインからのものに注意してください。
Cymulate は、サブスクリプション全体をスキャンして脆弱なマシンを特定する自動化された露出検証シナリオを導入し、チームが修正対応の優先順位付けを効果的に行えるようにしました。
翻訳元: https://cyberpress.org/azure-identity-token-flaw-tenant-wide-compromise/