Investigadores descubren que una validación deficiente en los tokens de identidad permite a un administrador local comprometido pivotar hacia la nube y tomar el control de todo el tenant de Azure.
La promesa de la nube híbrida es la gestión unificada, pero esa conveniencia acaba de convertirse en un vector de ataque. Se ha revelado hoy los detalles de una vulnerabilidad de severidad alta (CVE-2026-20965) en la implementación de Single Sign-On (SSO) de Windows Admin Center (WAC), la cual permite a los atacantes romper las barreras de aislamiento entre máquinas virtuales individuales y el entorno completo de Azure.
El fallo es tan sutil como devastador: permite mezclar tokens robados con tokens falsificados para engañar al sistema y obtener acceso lateral a cualquier recurso gestionado por el mismo administrador.
El Mecanismo: Coctelera de Tokens
El ataque se centra en cómo Windows Admin Center autentica las solicitudes utilizando dos tipos de tokens:
- WAC.CheckAccess: Un token que verifica los permisos basados en roles (RBAC) del usuario.
- Token PoP (Proof of Possession): Un token vinculado criptográficamente para prevenir la reutilización.
El Fallo de Validación: Los investigadores descubrieron que el sistema no verificaba si ambos tokens pertenecían a la misma identidad.
- El Exploit: Un atacante que ya ha comprometido una máquina virtual (con acceso de administrador local) puede capturar el token legítimo WAC.CheckAccess de un administrador real cuando este se conecta.
- La Falsificación: Luego, el atacante genera su propio token PoP desde su propio tenant malicioso.
- El Resultado: Al enviar una solicitud que combina el token de acceso robado (de la víctima) con el token PoP (del atacante), el sistema acepta la solicitud como válida. Esto otorga al atacante los privilegios del administrador víctima en toda la suscripción, permitiéndole ejecutar comandos remotos (RCE) en cualquier otra máquina conectada a WAC dentro del tenant.
Impacto: De Local a Global
Lo que comienza como el compromiso de una sola máquina virtual (VM) o un servidor Arc, escala rápidamente a un compromiso total del entorno.
- Movimiento Lateral: El atacante puede saltar de una VM comprometida a cualquier otro servidor gestionado.
- Evasión de JIT: El ataque también explota una debilidad en el acceso “Just-In-Time” (JIT), el cual abre el puerto de gestión (6516) a todas las IPs en lugar de restringirlo al gateway, facilitando la conexión directa sin pasar por los controles DNS.
Solución y Detección
Microsoft ha parcheado esta vulnerabilidad en la actualización del 13 de enero de 2026.
Acciones Inmediatas:
- Actualizar: Asegúrese de que la extensión “Azure” de Windows Admin Center esté actualizada a la versión v0.70.00 o superior.
- Monitoreo (Hunting): Busque en los logs de eventos (DeviceLogonEvents) inicios de sesión anómalos donde el AccountName contenga dominios de tenants externos (@externaltenant.onmicrosoft.com) o identidades que no coincidan con su organización, lo cual es un indicador claro de este tipo de falsificación.
