Black Hat Asiaイスラエルの研究者がMicrosoftのWindows Admin Center(WAC)の一連の脆弱性を発見し、これはハイブリッドクラウド管理ツールが双方向の攻撃対象であり、ユーザーが十分な関心を持っていないことを示していると述べています。
本日シンガポールで開催されたBlack Hat Asiaカンファレンスでスピーチを行ったCymulateのIlan KalendarovとBen Zamirは「Breaking Hybrid Boundaries Across Azure and Windows」というタイトルの講演で、Microsoftに報告した4つのCVE – 2025-64669、2026-20965、2026-23660、2026-32196 – について詳しく説明しました。Microsoftはその後、これらの脆弱性を修正しました。
すべてWACに関連しています。
Microsoftは2つのバージョンのWACを提供しています – Azureでホストされているクラウド版とオンプレミス版です。KalendarovとZamirによると、後者が存在するディレクトリは書き込み保護されていなかったため、攻撃者はWACと一緒にあらゆる種類の悪質なソフトウェアをドロップできました。
WACの両方のバージョンは、管理するリソースを識別するためにチェックアクセストークンと所有証明(POP)トークンに依存していますが、VMはPOPトークンのすべてのフィールドを検証していません。研究者はまた、POPトークンが再利用または偽造できることを発見し、攻撃者はWACで管理されているテナントVMを乗っ取ることができます。Microsoft Arcで管理されているリソースも危険にさらされています。
研究者が発見したCVEのいずれかがアクティブに悪用されているという兆候はありません。最も悪いもので7.8のCVSSスコアが評定されました。Cymulateは責任を持って知見を公表し、Microsoftはパッチを公開しているため、これらは恐ろしい脆弱性ではありません。
しかし、KalendarovとZamirは、彼らの知見がハイブリッドクラウドを実行している組織を懸念させるべきだと考えています。なぜなら、彼らが発見した脆弱性は、攻撃者がオンプレミスのWACを使用してAzureを攻撃でき、クラウドのWACを使用してオンプレミスのリソースを攻撃できることを意味するからです。
このペアは、火の脅威を無視している犬を示す「これは大丈夫」というミームで彼らの講演を始めました。
研究者たちは、ハイブリッドクラウドも同様に燃えているかもしれず、ユーザーがそれについて十分に懸念していないことを示唆しました。
「あなたのハイブリッド管理プレーンは、監視が不十分な攻撃対象です」とKalendarovは言いました。「クラウドとオンプレミスの両方を見る必要があります。すべてのシステムをティアゼロとして扱ってください。」
そして、Cymulateが発見したCVEが可能にした攻撃を懸念している場合は、クラウドリソースを操作するために設定した識別情報がオンプレミスシステムにアクセスしているかどうか、またはその逆に注意してください。
The Registerは、このペアがNutanixやVMwareなどの他の一般的なハイブリッドクラウド管理ツールを調べたかどうかを尋ねました。彼らは大規模なユーザーベースのためにWACを調査したが、他のハイブリッドクラウドツールを調査することに関心を表明していると述べました。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/04/23/wac_flaws_hybrid_cloud_security/
