TokyoBlackHatNews

esecurityplanet.com 5分で読了

Windows Admin Center の Azure SSO の欠陥によりテナント全体の侵害リスク

Windows Admin Center の Azure SSO の欠陥により、攻撃者が1台の侵害済みマシンを足掛かりに、Azure VM や Arc 接続システム全体へとテナント規模でアクセスを拡大できる可能性があります。 

この脆弱性は「…たった1台のマシンでローカル管理者アクセスを持つ攻撃者が、権限を昇格し、リモートコードを実行し、有効な Azure 資格情報なしに同一テナント内の Azure 仮想マシンおよび Arc 接続システムへ横展開できるようにする」と、Cymulate の研究者は述べています

Windows Admin Center のトークン欠陥の内側

CVE-2026-20965として追跡されているこの欠陥は、Windows Admin Center を使用して Azure VM および Arc 接続システムを管理している組織に影響し、特に管理者が Azure Portal 経由で頻繁に接続する環境で顕著です。

中核となるリスクは、攻撃者が WAC 管理下の1つのシステムで足場を得ると、そのアクセスを利用して横展開し、テナント全体にわたる他のマシンへ到達できる可能性がある点です。

Windows Admin Center の Azure SSO フローは、2つの別々のトークンが連携して動作することに依存しています。 

1つ目のWAC.CheckAccessは、ユーザーが必要なロールベースの権限を持っていることを確認するために使用されます。 

2つ目は proof-of-possession(PoP)トークンで、ブラウザ内で生成される暗号鍵に認証をバインドすることで、トークンのリプレイを防ぐよう設計されています。 

通常の条件下では、この組み合わせにより、たとえトークンが盗まれても別のコンテキストから再利用できないことが保証されます。

Cymulate の研究者は、WAC がこれらのトークンを本来あるべきほど厳密に検証していないことを発見しました。 

実際には、攻撃者が盗んだWAC.CheckAccessトークンと偽造した PoP トークンを組み合わせることで、特権ユーザーになりすまし、他の WAC 対応システム上で管理コマンドをリモート実行できる可能性がありました。 

この問題は、トークン間の UPN チェック欠如、クロステナント PoP トークンの受け入れ、nonce の再利用、そして 6516 ポート経由の直接 IP アクセスのようなゲートウェイ以外の URL に対する PoP サポートなど、複数の検証ギャップに起因します。 

さらに重要なのは、WAC.CheckAccessトークンのスコープが十分に限定されていなかった点で、認可が単一マシンを超えて拡張され、事実上、より広範なテナントレベルのアクセスパターンを可能にしてしまうことです。

攻撃を成立させるために必要な条件

悪用は完全に「ドライブバイ」ではありません。 

攻撃者は、WAC 対応の Azure VM または Arc 接続マシン上で既にローカル管理者アクセスを持っている必要があり、さらに攻撃者の機会の時間帯に、特権ユーザーが Azure Portal を通じて WAC セッションを開始しなければなりません。 

しかし、これらの条件が満たされると、影響範囲は大きくなり得ます。横展開、権限昇格、そして分離されていると想定されていたシステムの広範な侵害を可能にします。

Microsoft はこの問題に対処するパッチをリリースしており、組織は直ちに適用するとともに、トークンの不正使用や異常なクロステナントのアイデンティティ活動の兆候がないかログを確認すべきです。

テナント全体の露出を減らす方法

Azure 上で Windows Admin Center を運用している組織は、CVE-2026-20965 を高優先度のリスクとして扱うべきです。単一ホストの侵害が、より広範なテナント全体の露出へとつながり得るためです。 

また、セキュリティチームは、集中的な監視がなければトークン悪用を見つけにくい可能性があることも前提にすべきです。

  • Windows Admin Center Azure Extension v0.70.00 以降へアップグレードし、不要な箇所では WAC を削除して攻撃対象領域を減らします。
  • 最小権限、PIM、および条件付きアクセス制御(例:MFA、準拠デバイス、場所/リスクポリシー)を用いてWAC へのアクセスを制限します。
  • 6516 ポートを信頼できるゲートウェイ経由の経路のみに制限してネットワーク露出を抑え、NSG/JIT ルールを強化して広範なインバウンドアクセスを防止します。
  • WAC 対応システムを専用の管理サブネットに分離し、アウトバウンド通信を制限して横展開とトークン悪用の経路を減らします。
  • 監視して アイデンティティおよびトークンの異常(混在テナントの UPN ログオン、予期しない WAC_user アカウント、PoP/トークンリプレイの兆候など)を検知します。
  • InvokeCommand の急増、対象上での新しいアイデンティティ、傍受を示唆する不正な WAC サービスやプロセスなど、疑わしい WAC 活動に対してアラートを設定します。

これらの手順は、ギャップを埋め、横展開を抑え、疑わしい WAC 活動を早期に検知するための実践的なアクションを示しています。

1つの弱点が招くテナント全体のリスク

この脆弱性は、アイデンティティおよびトークン検証の欠陥が、日常的な管理ワークフローをテナント全体のリスクへと変え得ることを思い起こさせます。特に、スピードとスケールを前提に構築されたクラウド環境では顕著です。 

組織は Windows Admin Center のパッチ適用を直ちに優先し、その後、アクセス制御、ネットワーク制限、監視を強化して、単一システムが侵害された場合の影響範囲を縮小すべきです。 

これが、侵害を前提として影響を限定することを中心に据えたゼロトラストセキュリティモデルへ組織が移行している理由です。

翻訳元: https://www.esecurityplanet.com/threats/windows-admin-center-azure-sso-flaw-risks-tenant-wide-compromise/

ソース: esecurityplanet.com
#Azure Arc #Azure SSO #CVE-2026-20965 #Windows Admin Center #ゼロトラスト #テナント全体の侵害 #トークン検証不備 #リモートコード実行(RCE) #横展開(Lateral Movement) #特権昇格

関連記事

Claude Code GitHub Actionsの脆弱性がサプライチェーン攻撃リスクを招いた問題

GoogleがAndroidのゼロデイ脆弱性にパッチを適用——実際の悪用が確認

偽のClaude Codeインストーラーが認証情報を盗むマルウェアを配布