Windows Admin Center’ın Azure Çoklu Oturum Açma uygulamasındaki yüksek önem derecesine sahip bir güvenlik açığı, Azure sanal makinelerini ve Arc bağlantılı sistemleri tüm kiracılar genelinde yetkisiz erişime maruz bıraktı.
Cymulate Research Labs, şu anda CVE-2026-20965 olarak izlenen kusuru keşfetti; bu, hatalı belirteç doğrulamanın, bireysel makineler ve tüm Azure ortamları arasındaki güvenlik sınırlarını nasıl çökertebileceğini gösteriyor.
Microsoft, Cymulate’in Ağustos 2025’teki açıklamasının ardından 13 Ocak 2026’da Windows Admin Center Azure Uzantısı v0.70.00 aracılığıyla sorunu yamaladı. Bu sürümün altındaki tüm düzeltme eki uygulanmamış dağıtımlar açıkta kalır.
| CVE Kimliği | Tanım | Şiddet | CVSS Puanı | Etkilenen Sürümler | Yama |
|---|---|---|---|---|---|
| CVE-2026-20965 | WAC Azure SSO’da hatalı belirteç doğrulaması, çalınan WAC.CheckAccess belirtecinin yanal hareket için sahte PoP belirteciyle karıştırılmasına olanak tanır. | Yüksek | Henüz yayınlanmadı | < 0.70.00 | v0.70.00 |
Yararlanma, WAC özellikli bir Azure VM veya Arc makinesinde yerel yöneticinin yanı sıra Azure Portal aracılığıyla bağlanan ayrıcalıklı bir kullanıcı gerektirir. Cymulate, vahşi bir istismarın bildirilmediğini ancak geriye dönük tespitin tavsiye edildiğini ekledi.
Windows Admin Center iki belirteç kullanır: WAC.CheckAccess (UPN aracılığıyla rol tabanlı erişimi doğrular) ve PoP’ye bağlı belirteç (tarayıcı tarafından oluşturulan anahtar çifti yeniden oynatmayı önler).
Kusurlar arasında belirteçler arasında UPN eşleşmesinin olmaması, kiracılar arası PoP belirteçlerinin kabul edilmesi, PoP’da ağ geçidi olmayan URL’ler (örneğin, bağlantı noktası 6516 aracılığıyla doğrudan IP), yeniden kullanılan nonce’ler ve kiracı çapında erişim sağlayan kapsam dışı WAC.CheckAccess yer alır.
JIT erişimi, 6516 numaralı bağlantı noktasını yalnızca ağ geçidi DNS’sine değil tüm IP’lere açık hale getirir ve DNS keşfi olmadan doğrudan sahteciliğe olanak tanır. Bu, VM izolasyonunu daraltarak kaynak grupları genelinde yöneticilerin kimliğine bürünülmesine olanak tanır.
Saldırı Zinciri
- WAC sertifikasını boşaltın, hizmeti durdurun, hileli sunucuyu çalıştırın.
- Portal bağlantısı sırasında yöneticinin WAC.CheckAccess belirtecini yakalayın.
- Hedefleri meta veriler/alt ağ aracılığıyla numaralandırın.
- Saldırganın kiracısını kullanarak PoP oluşturun: anahtarlar oluşturun, yenileme belirteci aracılığıyla bağlayın, hedef kaynak kimliğini/IP’sini ekleyin.
- Erişilebilir herhangi bir WAC makinesinde RCE için InvokeCommand’ı karışık belirteçlerle gönderin.
- Zincirleme için tekrarlayın.
Sahte UPN’ler aracılığıyla yatay harekete, ayrıcalık yükseltmeye, kimlik bilgileri hırsızlığına, abonelikler arası uzlaşmaya ve kaçırmaya olanak tanır.
Algılama Kılavuzu
Kötüye kullanımı belirten [email protected] gibi WAC sanal hesaplarını izleyin.
Şüpheli Oturum Açmalar için KQL Sorgusu:
textDeviceLogonEvents
| where Timestamp > ago(30d)
| where AccountName has "@"
| where not(AccountName has "")
| project Timestamp, DeviceName, AccountName, ActionType, LogonType
| order by Timestamp desc
Anormal WAC etkinliğini işaretleyin: hedeflerde yeni kimlikler, güvenilir bağlamlarda InvokeCommand artışları.
IOC’ler:
- Bağlantı noktası 6516, JIT NSG (tüm kaynaklar) aracılığıyla açılır.
- Hileli WAC işlemleri/hizmetleri.
- Karma kiracılı UPN oturum açma işlemleri.
- Kapsam dışı PoP jetonunun yeniden kullanımı.
Derhal v0.70.00 sürümüne güncelleyin. NSG/JIT’yi yalnızca ağ geçidine geliştirin. Anormallikler için WAC günlüklerini izleyin.
Bu kusur, Azure SSO risklerinin altını çiziyor: ince doğrulama boşlukları, segmentasyonu atlayarak yerelden buluta pivotlara olanak tanıyor. Yama uygulama ve simülasyon testlerine öncelik verin.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
