CVE-2026-20965: Krytyczna Luka w Azure Umożliwiająca Zdalne Wykonanie Kodu i Przejęcie Kontroli nad Całym Tenantem

W dzisiejszym krajobrazie cyberbezpieczeństwa, gdzie infrastruktura chmurowa stanowi kręgosłup operacji biznesowych, bezpieczeństwo tożsamości i dostępu jest absolutnie kluczowe. Doskonałym tego przykładem jest niedawno ujawniona podatność o wysokim stopniu krytyczności, oznaczona jako CVE-2026-20965. Ta luka w implementacji Azure Single Sign-On (SSO) w usłudze Windows Admin Center (WAC) otwiera drzwi do zdalnego wykonania kodu (RCE), eskalacji uprawnień na poziomie całego tenanta oraz swobodnego poruszania się po infrastrukturze chmurowej ofiary.

Podatność CVE-2026-20965 została zidentyfikowana i przeanalizowana przez zespół badawczy z Cymulate Research Labs, w skład którego wchodzili Ilan Kalendarov, Ben Zamir oraz Elad Beber Źródło. Microsoft podjął działania w celu jej załatania, a poprawka została udostępniona 13 stycznia 2026 roku w ramach aktualizacji rozszerzenia Windows Admin Center Azure Extension do wersji v0.70.00 Źródło. Eksperci ds. bezpieczeństwa zalecają retrospektywną analizę logów w celu wykrycia ewentualnych, wcześniejszych prób jej eksploatacji Źródło.

Aby zrozumieć powagę CVE-2026-20965, musimy zagłębić się w mechanizmy uwierzytelniania stosowane przez WAC w integracji z Azure. Problem polega na niewłaściwej walidacji wewnętrznych tokenów.

1. Token WAC.CheckAccess: Jego słabość polega na braku jednoznacznego powiązania (scope) z konkretnym zasobem, co w praktyce oznacza, że przyznaje on dostęp na poziomie całego tenanta Źródło.
2. Token Proof-of-Possession (PoP): Zapewnia, że żądanie pochodzi od posiadacza sesji. Problem polegał na tym, że system niepoprawnie weryfikował relacje między tymi dwoma tokenami.

Kluczowe błędy walidacji:

• Brak dopasowania UPN: System nie sprawdzał zgodności UPN w tokenach.
• Akceptacja tokenów PoP z innych tenantów: Luka łamała zasadę izolacji tenantów w chmurze Azure.
• Dopuszczenie adresów URL innych niż brama: Umożliwiano generowanie tokenów PoP z nieoficjalnymi URL.
• Ponowne wykorzystanie `nonce` i dowolność metod HTTP: System nie wymuszał unikalności wartości `nonce`.
• Brak powiązania tożsamości i ekspozycja portu przez JIT:

Atak wymagający posiadania lokalnych uprawnień administratora na maszynie z WAC, prowadzi do eskalacji uprawnień poprzez przejęcie tokenów.

1. Przejęcie kontroli: Atakujący wykonuje zrzut certyfikatu WAC i uruchamia fałszywy serwer.
2. Przechwycenie tokena: Przechwytuje token `WAC.CheckAccess` administratora o wysokich uprawnieniach.
3. Enumeracja celów: Skorzystanie z metadanych chmury do identyfikacji maszyn z włączonym WAC.
4. Sfałszowanie tokena PoP: W stworzeniu tokena PoP kluczowe jest wskazanie identyfikatora zasobu maszyny docelowej.
5. Wykonanie zdalnego kodu: Konstrukcja złośliwego żądania `InvokeCommand` pozwala na wykonanie RCE.
6. Ruch boczny i eskalacja: Atakujący może przemieszczać się i eskalować uprawnienia.

Konsekwencje udanego ataku z wykorzystaniem CVE-2026-20965 są alarmujące.

• Zdalne wykonanie kodu: Możliwość kradzieży danych, instalacji ransomware lub tworzenia backdooorów.
• Nieograniczony ruch boczny: Podatność umożliwia swobodne przemieszczenie się pomiędzy grupami zasobów.
• Eskalacja uprawnień: Atakujący zyskuje autorytet administratora, przejmując kontrole nad środowiskiem chmurowym.

Kluczowe jest podjęcie natychmiastowych i zdecydowanych działań w celu ochrony infrastruktury.

1. Natychmiastowa aktualizacja: Aktualizacja rozszerzenia do wersji v0.70.00 lub nowszej.
2. Skanowanie pod kątem podatnych wersji: Przeskanowanie środowiska w celu identyfikacji przestarzałych instancji WAC.
3. Analiza logów i monitorowanie dostępu: Przegląd logów sieciowych i dostępu w poszukiwaniu nietypowej aktywności.
4. Zarządzanie dostępem JIT: Wyłączenie funkcji JIT lub ograniczenie dostępu wyłącznie do zaufanych adresów IP.

CVE-2026-20965 to nie jedyna podatność związana z tożsamością w Azure. Warto ją umieścić w szerszym kontekście.

• CVE-2025-55241 (Actor Tokens): Podatność dotycząca API Azure AD Graph, pozwalająca na podszywanie się pod administratora globalnego Źródło. Podatność ta nie wymagała wstępnego dostępu.
• Ryzyka związane z oświadczeniami e-mail: Microsoft ostrzegał przed ryzykiem eskalacji w aplikacjach Azure AD, które niepoprawnie walidowały oświadczenia analiza producenta.

Podatności takie jak CVE-2026-20965 wymagają ciągłej czujności i proaktywnego podejścia do bezpieczeństwa. Nasze zaawansowane testy penetracyjne, audyty konfiguracji Azure oraz symulacje ataków pozwalają odkryć słabości przed ich wykorzystaniem przez cyberprzestępców. Skontaktuj się z nami w celu zabezpieczenia swojego biznesu Kontakt.