Azure Identity Token Vulnerability Enables Tenant-Wide Compromise in Windows Admin Center
2026/01/15 CyberSecurityNews — Windows Admin Center の Azure Single Sign-On (SSO) 実装に、深刻度の高い脆弱性 CVE-2026-20965 が発見された。それにより、Azure VM および Arc 接続システムが、テナント全体にわたる不正アクセスのリスクにさらされている。この脆弱性が示すのは、不適切なトークン検証により、個々のマシンと Azure 環境全体との間に存在すべきセキュリティ境界が崩壊する恐れである。
Cymulate が 2025年8月に公開した情報を受け、Microsoft は 2026年1月13日に、Windows Admin Center Azure エクステンション v0.70.00 において、この問題に対する修正プログラムを提供した。このバージョン以前で修正が適用されていない、すべてのデプロイメントは、引き続き脆弱性 CVE-2026-20965 の影響を受ける。
| CVE ID | Description | Severity | CVSS Score | Affected Versions | Patch |
|---|---|---|---|---|---|
| CVE-2026-20965 | Improper token validation in WAC Azure SSO allows mixing stolen WAC.CheckAccess token with forged PoP token for lateral movement. | High | Not yet published | < 0.70.00 | v0.70.00 |
この脆弱性を悪用する攻撃者は、WAC 対応の Azure VM または Arc マシン上のローカル管理者権限と、Azure Portal 経由で接続する特権ユーザーの存在が必要となる。現時点で悪用の事例は報告されていないが、Cymulate は遡及的な検出の実施を推奨している。
Windows Admin Center で使用される2種類のトークンは、UPN に基づくロールベース・アクセスを検証する WAC.CheckAccess と、ブラウザー生成のキーペアによりリプレイを防止する PoP バインドである。
この脆弱性には、以下のような複数の問題点が含まれる。
- トークン間の UPN 不一致
- テナント間 PoP トークンの受け入れ
- PoP 内でのゲートウェイ以外の URL (例:ポート 6516 経由の直接 IP) の許可
- ノンスの再利用
- スコープ外の WAC.CheckAccess によるテナント全体へのアクセス許可
JIT アクセスは、すべての IP に対してポート 6516 を公開するため、DNS 検出を伴わない直接的な偽装を許してしまう。これにより VM の分離が崩れ、リソース・グループ間で管理者のなりすましが可能となる。
攻撃チェーン。
- WAC 証明書をダンプし、サービスを停止した上で不正サーバを起動する。
- ポータル接続中に管理者の WAC.CheckAccess トークンを取得する。
- メタデータ/サブネットを通じてターゲットを列挙する。
- 攻撃者テナントを用いて PoP を偽造し、キー生成後にリフレッシュ・トークンでバインドし、ターゲットのリソース ID/IP を挿入する。
- 混合トークンを含む InvokeCommand を送信し、任意の WAC マシンで RCE を実行する。
このチェーンを繰り返すことで、横方向移動/権限昇格/資格情報窃取/サブスクリプション間侵害/偽 UPN による回避が可能となる。
検出ガイダンスとして挙げられるのは、”WAC_user@externaltenant.onmicrosoft.com” などの不正使用を示唆する WAC 仮想アカウントの監視である。
KQL Query for Suspicious Logons:
textDeviceLogonEvents
| where Timestamp > ago(30d)
| where AccountName has "@"
| where not(AccountName has "<your-tenant>")
| project Timestamp, DeviceName, AccountName, ActionType, LogonType
| order by Timestamp desc
IOC
- JIT NSG 経由でポート 6516 が全ソースに対して開放されている状態
- 不正な WAC プロセスまたはサービス
- 混合テナントの UPN ログオン
- スコープ外 PoP トークンの再利用
対策として求められるのは、v0.70.00 への速やかなアップデート/NSG と JIT のゲートウェイへの限定/WAC ログにおける異常の継続的な監視などである。
この脆弱性は、Azure SSO に内在するリスクを浮き彫りにしている。わずかな検証ギャップにより、ローカルからクラウドへの侵害拡大が可能となり、セグメンテーションが回避される可能性があるため、パッチ適用とシミュレーション・テストを優先すべきである。
Azure VM や Arc 接続システムを管理する Windows Admin Center に、セキュリティ境界を越えて不正アクセスを許してしまう脆弱性が発見されました。この問題の原因は、Azureへのサインインに使用される認証トークンに対する、不十分な検証にあります。本来であれば、トークンは特定のユーザーやシステムごとに厳格にチェックされるべきですが、この脆弱性を突く攻撃者は、盗み出したトークンと偽造したトークンを組み合わせることができてしまいます。その結果として、特定のマシンしか操作できないはずの権限が、クラウド環境全体 (テナント全体) を操作する権限へと拡大され、他のサーバーへの侵入のリスクが生じています。ご利用のチームは、ご注意ください。よろしければ、カテゴリー AuthN AuthZ を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.