Azure WAC の脆弱性 CVE-2026-32196:オンプレミス環境での未認証ワンクリック RCE に注意

One-Click RCE in Azure Windows Admin Center Allow Attacker to Execute Arbitrary Commands

2026/04/17 CyberSecurityNews — Windows Admin Center はローカルにデプロイされるブラウザ・ベースの管理ツールであり、Windows/サーバ/クライアント/クラスターを管理するための、中央集約型の GUI 環境を提供するものだ。Cymulate Research Labs により発見された、この深刻な脆弱性 CVE-2026-32196 を悪用する攻撃者は、Azure 統合環境およびオンプレミス環境において、認証不要かつワンクリックでのリモートコード実行 (RCE) を可能にする。

攻撃者は、改竄された URL へと被害者を誘導するだけで、任意コマンドを密かに実行し、対象ネットワークを完全に掌握できる。

この脆弱性は 2025年08月22日の時点で Microsoft へ開示され、その後に Azure 管理インスタンスに対してサーバ側でパッチが適用された。この修正はサービス側で実装されているため、クラウド利用者は手動対応なしで自動的に保護される。

その一方で、オンプレミスの Windows Admin Center (WAC) 環境を使用する組織は、最新バージョンへの更新を自発的に実施して、脆弱性を解消する必要がある。

The waconazure app runs in the Azure portal via an iframe(source : cymulate)
The waconazure app runs in the Azure portal via an iframe (source: Cymulate)
エクスプロイトを成立させる中核脆弱性

Cymulate Research Labs が公開した技術レポートによると、以下の 3 つのアーキテクチャ上の弱点の組み合わせにより、攻撃チェーンが成立する。

  • レスポンス・ベースのクロスサイト・スクリプティング (XSS) により、攻撃者は Azure ポータル・フローおよびオンプレミスのエラー・ハンドリングに、任意の JavaScript を注入できる。
  • 不適切なリダイレクト処理により、WAC は外部制御された gateway URL を検証せずに受け入れ、スプーフィング/フィッシング攻撃による正規フローの乗っ取りを許す。
  • オンプレミス環境における不十分な認証情報の保護により、Azure アクセス・トークン/リフレッシュ・トークンがブラウザのローカル・ストレージに保存され、XSS 攻撃による容易な窃取を許す。

この研究が示すのは、Windows Admin Center のデプロイ形態に応じて、攻撃の経路と影響が異なる点である。

Unsanitized error messages enable HTML injection(source : cymulate)
Unsanitized error messages enable HTML injection (source: Cymulate)

Azure 管理環境において、悪意のペイロードを含む正規風 URL を生成する攻撃者は、偽の Basic/NTLM 認証を誘導し、そこから認証情報を窃取する。

オンプレミス環境においては、さらに深刻な影響が生じる。ゲートウェイを悪用する攻撃者は、管理対象となるサーバ上で任意の PowerShell コマンドを実行できる。

ローカル・ゲートウェイに保存された Azure トークンの悪用により、ラテラル・ムーブメントを可能にする攻撃者は、クラウド全体の権限およびテナント制御を取得する。

エクスプロイト・チェーンの実行

Cymulate の研究者たちが実証したのは、最小限のユーザー操作で完全な攻撃チェーンが成立することだ。攻撃者は、ドメインの登録/正規証明書の取得/WAC ゲートウェイ URL の偽装を達成する。

An attacker-hosted payload can automatically steal client credentials( source : cymulate)
An attacker-hosted payload can automatically steal client credentials (Source: Cymulate)

この攻撃で用いられる悪意のリンクは、フィッシング・メール/偽装リンク/自動リダイレクトなどを通じて配布される。それらのリンクをクリックする被害者は、WAC アプリケーションから攻撃者が制御サーバへと自動的にリダイレクトされる。

その後に、攻撃者が管理するサーバから、悪意のスクリプトを取り込んだエラー・メッセージが返される。アプリケーションがレスポンスを適切にサニタイズしないため、この悪意のコードは、高権限の WAC ブラウザ環境内で直接実行される。

このエクスプロイトが示すのは、クライアント入力だけではなく、サーバ・レスポンスの厳格な検証の必要性である。

すでに Azure クラウド環境は保護されているが、内部ネットワークにおけるリスクは依然として高い。オンプレミスの Windows Admin Center を管理する、すべてのセキュリティ・チームに対して Cymulate Research Labs が強く推奨するのは、最新パッチ版への速やかなアップデートである。

管理者にとって必要なことは、旧バージョンがネットワーク内に残存していないことを確認し、インフラ全体の侵害を防止することである。

訳者後書:この問題の原因は、Windows Admin Center (WAC) の設計において、”サーバーからの返信内容” や “接続先の URL” などを 正しく検証する仕組みが不足していたことにあります。この脆弱性 CVE-2026-32196 は、3 つの弱点が組み合わさることで、きわめて危険な攻撃へとエスカレートします。さらに、オンプレミス環境では、Azure のログイン情報がブラウザ内に不用心に保存されているため、攻撃者はたった一度のクリックで管理対象のサーバを侵害し、リモートからクラウド全体の権限を盗み取ることなどが可能になります。ご利用のチームは、ご注意ください。よろしければ、Azure での検索結果も、ご参照ください。