新たに開示されたAzure Windows Admin Center (WAC) の脆弱性により、認証なしでワンクリック型のリモートコード実行 (RCE) とトークン盗取が可能になります。改ざんされた「正規に見える」URLに管理者をおびき寄せるだけで実行できます。
これらの連鎖する脆弱性は総称してCVE-2026-32196として追跡されており、WACのウェブロジックにおけるコントロールフロー乗っ取りに起因しており、1回のクリックでPowerShell実行と可能なAzureテナント侵害につながります。
細工されたゲートウェイURLを悪用することで、攻撃者は被害者のブラウザを強制的に攻撃者が管理する不正な「WAC風」サーバーと通信させることができます。事前認証は不要です。
この問題は2025年8月にMicrosoftに報告されました。Azureホスト型WACはサーバー側で修正されていますが、オンプレミス顧客は最新のWindows Admin Centerビルドにアップグレードする必要があります。
Microsoftはazure SaaS側をクラウド専用の問題として一元的に修復されたものとして扱ったため、独立したクラウドCVEは割り当てませんでしたが、オンプレミスの影響はCVE-2026-32196の下で追跡されています。
CVE-2026-32196はWACの設計とレスポンスハンドリングにおける3つのコア問題によって引き起こされます。
XSSが発動されると、攻撃者のスクリプトは内部WAC APIを呼び出し、Azureポータル内でクロスフレームメッセージを送信し、ログインした管理者のようにトークンを盗んだりコマンドを実行したりできます。
そのスクリプトは埋め込まれた waconazure iframeの内部で実行され、フィッシング、NTLM/基本認証情報の収集、Azureポータル内での微妙なソーシャルエンジニアリングのためにWACコンテキスト、通知、UIフローへのアクセスを提供します。
オンプレミスWACでは、同じゲートウェイロジックが存在しますが、ゲートウェイ自身のオリジンで実行され、影響がXSSから直接RCEに上昇します。
改ざんされたWAC URLの1回のクリックにより、被害者のブラウザがWACのPowerShell実行APIを呼び出し、追加のプロンプトなしに管理者がアクセス可能な任意の管理サーバー上で任意のコマンドを実行することができます。
そのゲートウェイがAzureに接続されている場合、注入されたスクリプトはローカルストレージからAzure管理トークンを読み取り、それを流出させることもでき、完全なユーザーの偽装とテナントへの横展開が可能になります。
翻訳元: https://cyberpress.org/one-click-rce-in-azure-windows-admin-center/
