Uma falha de alta gravidade no Single Sign-On do Windows Admin Center (WAC) pode permitir que um invasor colapse barreiras entre máquinas e todo o tenant Azure, segundo relatório da Cymulate Research Labs publicado em 15/01/2026.
O que foi descoberto
Cymulate identificou uma vulnerabilidade rastreada como CVE-2026-20965 que decorre de validação inadequada de tokens no fluxo Azure SSO do Windows Admin Center. De acordo com o relatório, a combinação incorreta entre o token WAC.CheckAccess e tokens PoP (Proof-of-Possession) permite que um atacante misture valores roubados e forjados para obter acesso com escopo de tenant.
Vetor e exploração
A exploração descrita exige duas condições: (1) controle local (admin) sobre uma VM ou máquina conectada via Arc com WAC habilitado e (2) que um usuário privilegiado estabeleça conexão pelo Azure Portal. A cadeia de exploração documentada inclui despejo do certificado WAC, parada do serviço, execução de um servidor malicioso, captura do token WAC.CheckAccess do administrador durante a conexão e forjamento de um token PoP ligado a um recurso alvo.
Sequência resumida da cadeia de ataque
- Obter credenciais/administrador local em uma VM WAC-enabled.
- Capturar WAC.CheckAccess do admin durante acesso via portal.
- Gerar PoP forjado com chave do atacante e inserir resource ID/IP do alvo.
- Enviar InvokeCommand com tokens misturados para executar comandos remotos.
- Cadeamento para comprometer múltiplas máquinas e permissões no tenant.
Evidências, limites e recomendações imediatas
Microsoft corrigiu a falha na Windows Admin Center Azure Extension v0.70.00, lançada em 13 de janeiro de 2026. Cymulate recomenda atualizar imediatamente extensões WAC abaixo da versão 0.70.00. O relatório observa que a exploração permite movimentação lateral, escalada de privilégios e comprometimento cross‑subscription, e que nenhuma exploração em massa foi reportada publicamente até a data do texto — embora a organização aconselhe busca retroativa por sinais de abuso.
Detecção e IOCs fornecidos
Cymulate fornece orientações práticas para detecção: monitoramento de contas virtuais WAC (ex.: WAC_user@externaltenant.onmicrosoft.com), varredura por logons com UPNs de outros tenants e verificação de portas JIT (porta 6516) expostas a todas as origens. O relatório inclui uma consulta KQL sugerida para identificar logons suspeitos:
DeviceLogonEvents | where Timestamp > ago(30d) | where AccountName has "@" | where not(AccountName has "<your-tenant>") | project Timestamp, DeviceName, AccountName, ActionType, LogonType | order by Timestamp desc
Entre os IOCs listados estão: portas 6516 expostas via JIT NSG a 0.0.0.0/0; processos/serviços WAC rogue; logons com UPNs mistos entre tenants; e reutilização de PoP não escopado.
O que falta e implicações operacionais
O relatório não publica uma pontuação CVSS oficial no post, embora descreva o impacto como “high” e documente vetores que permitem RCE via InvokeCommand. Falta também confirmação pública de exploração ativa em ambientes de produção em larga escala; portanto, as equipes devem priorizar a análise retroativa de logs e a correção imediata, especialmente em ambientes que expõem JIT/porta 6516.
Resumo e ações para CISOs
- Priorizar atualização para Windows Admin Center Azure Extension v0.70.00 em todas as instâncias.
- Restringir NSG/JIT para permitir acesso apenas ao gateway DNS, evitando exposições diretas à porta 6516.
- Realizar caça a ameaças (threat hunting) com as consultas KQL sugeridas e buscar sinais de contas WAC virtuais não reconhecidas.
- Testar controles de segmentação e simular pivot local→cloud para validar remediações.
Fonte: Cymulate Research Labs / Cyber Security News. Dados e recomendações extraídos do relatório e do post publicados em 15/01/2026.