في مشهد الأمن السيبراني لعام 2026، تم استبدال مفهوم "محيط الشبكة" بالكامل بمفهوم "محيط الهوية". ومع ذلك، فإن قوة هذا المحيط لا تكون قوية إلا بقدر قوة منطق التحقق من الصحة داخل أدواتنا الإدارية. في 13 يناير 2026، تم الكشف عن ثغرة أمنية خطيرة - وهيCVE-2026-2026-20965-يتحدى بشكل أساسي نموذج الثقة في إدارة السحابة الهجينة.
تسمح هذه الثغرة الأمنية في ملحق Azure (WAC) في مركز مسؤول Windows (WAC) للمهاجمين بالانتقال من خادم محلي واحد مخترق إلى التحكم الإداري الكامل في مستأجر Azure بأكمله. يوفر هذا الدليل تحليلاً متعمقًا لمهندسي الأمن والباحثين في مجال الاستغلال ومهندسي السحابة في آليات خلط الرموز والفشل المنهجي للتحقق من صحة إثبات الحيازة (PoP).
فهم نموذج الثقة في WAC وAzure SSO Trust Model
يعمل Windows Admin Center (WAC) كمستوى إدارة مركزي لأنظمة Windows البيئية، ويستخدم بشكل متزايد لإدارة أجهزة Azure الافتراضية وخوادم Azure Arc الممكّنة مباشرةً من بوابة Azure Portal. لتوفير تجربة سلسة، تستخدم Microsoft تدفق الدخول الأحادي (SSO) المتطور الذي يتضمن معرف Microsoft Entra ID (المعروف سابقًا باسم Azure AD).
يعتمد هذا التدفق على التفاعل بين رمزين محددين:
- الرمز المميز ل WAC.CheckAccess: رمز مميز لحامل الرمز المميز القياسي المستخدم لمصادقة جلسة عمل المستخدم إلى بوابة WAC.
- توكن إثبات الحيازة (PoP): رمز معزز مصمم لمنع هجمات إعادة التشغيل. يحتوي على رابط تشفيري للطلب المحدد والمورد المقصود.
في إطار تنفيذ آمن، يجب أن تضمن الواجهة الخلفية للمؤتمر العالمي للاتفاقية العالمية أن كلا الرمزين ينتميان إلى نفس الهوية. CVE-2026-2026-20965 موجود على وجه التحديد لأن هذا الربط لم يتم تطبيقه.
السبب الجذري التقني: بدائية خلط الرمز المميز
جوهر CVE-2026-2026-20965 هو "خلط الرموز". كشفت الأبحاث التي قادتها مختبرات Cymulate Labs في أواخر عام 2025 أن خادم المؤتمر العالمي لمكافحة الفساد لا يتحقق من صحة اسم المستخدم الرئيسي (UPN) في WAC.CheckAccess يطابق الرمز المميز UPN في PoP الرمز المميز
1. استغلال عدم تطابق UPN
ونظرًا لأن المؤتمر العالمي لشعب الأباظة يتعامل مع هذين الرمزين على أنهما رمزان مستقلان للتحقق من الصحة، يمكن للمهاجم استخدام WAC.CheckAccess الرمز المميز من مسؤول ذي امتيازات عالية وإقرانه ب PoP الرمز المميز الذي تم إنشاؤه بواسطة حساب المهاجم ذي الامتيازات المنخفضة. يرى خادم WAC اثنين من الرموز المميزة "الموقعة بشكل صحيح" ويتابع الطلب الإداري، مما يمنح المهاجم فعليًا أذونات الجلسة المسروقة.
2. إخفاقات النونسي والنطاق
بالإضافة إلى عدم تطابق الهوية، كشفت الثغرة عن العديد من ثغرات التحقق الأخرى:
- إعادة استخدام Nonce: فشل الخادم في إبطال الرموز غير الصالحة بعد استخدام واحد، مما يسمح بهجمات بأسلوب إعادة التشغيل ضمن نافذة صلاحية الرمز المميز.
- قبول نظام أسماء النطاقات غير التابع للبوابة: من المفترض أن يتم تحديد نطاق بروتوكول PoP إلى عنوان URL الخاص بالبوابة. ومع ذلك، فقد سمح CVE-2026-2026-20965 بـ
uفي الرمز المميز للإشارة إلى عناوين IP عشوائية أو نطاقات غير بوابة على المنفذ 6516، مما يسهل الهجمات المباشرة على العقد الداخلية. - قبول الرمز المميز عبر المستأجرين: قد يقبل WAC عن طريق الخطأ رموز PoP الصادرة من مستأجر خارجي يتحكم فيه المهاجم، طالما كان توقيع التشفير صالحًا.
سلسلة الهجمات التفصيلية: من المسؤول المحلي إلى المستأجر RCE
لتقدير مدى خطورة CVE-2026-20965، يجب أن ندرس دورة حياة الهجوم النموذجية المستخدمة لاستغلالها في بيئة المؤسسات الحديثة.
الخطوة 1: الاختراق الأولي واستخراج الرمز المميز
يحصل المهاجم على وصول المسؤول المحلي إلى جهاز يديره WAC. من خلال مراقبة الذاكرة أو اعتراض حركة المرور إلى خدمة WAC (والتي غالبًا ما تعمل بامتيازات عالية)، يستخرج المهاجم WAC.CheckAccess رمز مميز لمسؤول قام بتسجيل الدخول مؤخراً عبر بوابة Azure Portal.
الخطوة 2: إعداد البوابة المارقة
يقوم المهاجم بإيقاف خدمة WAC الشرعية وتشغيل مستمع مخادع. عند بدء جلسة عمل إدارية جديدة، يلتقط الخادم المخادع البيانات الوصفية اللازمة لتسهيل المرحلة التالية من عملية الاستغلال.
الخطوة 3: تزوير رمز PoP المميز الخبيث
باستخدام حساب Azure الخاص به ذي الامتيازات المنخفضة (أو مستأجر منفصل)، يقوم المهاجم بإنشاء رمز مميز لبرمجية PoP. يقوم المهاجم بصياغة حمولة الرمز المميز يدويًا لاستهداف جهاز Azure VM معين داخل مستأجر الضحية.
JSON
``/// مثال على رأس رمز PoP المزور (مبسط) { "alg": "RS256"، "typ": "pop"، "kid": "attacker_key_key_id"}
// مثال على حمولة رمز PoP الرمزي الخبيث { "at": "eyJ0e0eXAXAiOiOiJiJKV1QiLCJhbGci..."، "u": "10.0.0.0.5:6516"، "10.0.0.5:6516"، // عنوان IP داخلي مباشر للهدف "m": "POST"، "p": "/api/nodes/AzureVM01/features/powershell"، "n": "reused_nonce_value", "ts": 1736761200 }`
الخطوة 4: تنفيذ التعليمات البرمجية عن بُعد (RCE)
يقوم المهاجم بإرسال طلب POST مصطنع إلى واجهة برمجة تطبيقات WAC، ويمزج بين الامتيازات العالية المسروقة WAC.CheckAccess الرمز المميز مع الرمز المزور PoP الرمز المميز. يتم تنفيذ الأمر من خلال بوابة PowerShell الخاصة بالمؤتمر العالمي لشعب الأباظة، مما يسمح للمهاجم بتشغيل برامج نصية عشوائية على أي جهاز افتراضي متصل بالمستأجر.
مشهد الضعف المقارن: كانون الثاني/يناير 2026
تزامن إصدار إصلاح الثغرة الأمنية CVE-2026-2026-20965 مع العديد من الثغرات الأمنية الرئيسية الأخرى في دورة ثلاثاء التصحيح لشهر يناير 2026. يقدم الجدول التالي مقارنة عالية المستوى لمساعدة فرق الأمن على تحديد أولويات الإصلاح.
| معرّف CVE | المكوّن | التأثير | CVSS 4.0 | الخصائص الرئيسية |
|---|---|---|---|---|
| CVE-2026-2026-20965 | امتداد أزور WAC Azure | إنفاذ RCE على مستوى المستأجر | 7.5 | خلط الرمز المميز / تجاوز المصادقة |
| CVE-2026-2026-20805 | مدير نافذة سطح المكتب | الإفصاح عن المعلومات | 5.5 | مستغلة بشكل نشط في اليوم صفر يوم |
| CVE-2026-21265 | التمهيد الآمن لنظام التشغيل Windows Secure Boot | تجاوز الميزة | 6.4 | تعريض ثقة البرامج الثابتة للخطر |
| CVE-2026-2026-20944 | مايكروسوفت أوفيس | تنفيذ التعليمات البرمجية عن بُعد | 7.8 | لا يوجد تفاعل المستخدم (جزء المعاينة) |
| CVE-2025-49231 | آلة Azure المتصلة بـ Azure | رفع الامتيازات | 7.2 | الحركة الجانبية عبر عامل القوس |
من خلال دمج بنليجنت (https://penligent.ai/) في سير عمل الأمان الخاص بك، يمكنك الانتقال من التصحيح التفاعلي إلى التحقق الاستباقي القائم على الذكاء الاصطناعي من حدود الهوية السحابية.
إرشادات المعالجة الاستراتيجية والتقوية الاستراتيجية
تتطلب الحماية من CVE-2026-20965 نهجاً متعدد الطبقات يمتد إلى ما هو أبعد من التحديث الأولي للبرامج.
1. التحديثات الفورية للبرامج
يجب على المؤسسات تحديث "ملحق مركز إدارة Windows Admin Center Azure" إلى الإصدار 0.70.0.0.0 أو أعلى. يطبق هذا الإصدار مطابقة صارمة لـ UPN ويغلق ثغرة إعادة استخدام nonce.
2. تعزيز الوصول المشروط لبطاقة هوية انترا
تنفيذ سياسات الوصول المشروط التي تتطلب MFA المقاوم للتصيد الاحتيالي (مثل مفاتيح FIDO2) لجميع الجلسات الإدارية. علاوة على ذلك، استخدم حماية الرمز المميز (ربط الرمز المميز) حيثما كان ذلك مدعومًا لضمان عدم إمكانية إخراج الرموز المميزة بسهولة واستخدامها على الأجهزة الثانوية.
3. عزل الشبكة لمنافذ الإدارة
تقييد الوصول إلى المنفذ بشكل صارم 6516 (منفذ إدارة WAC). تأكد من أن محطات العمل الإدارية المصرح لها فقط أو مضيفات Bastion المحددة يمكنها الاتصال بهذا المنفذ على العقد المُدارة.
4. المراقبة واصطياد التهديدات
يجب أن تقوم مراكز العمليات الأمنية (SOC) بتنفيذ استعلامات تعقب للكشف عن الحالات الشاذة في استخدام الرمز المميز.
- البحث عن UPNs متعددة UPNs: ابحث عن الجلسات التي يكون فيها
الممثلUPN والموضوعرقم التعريف الموحد في سجلات معرف Entra غير متطابق. - رصد الحالات الشاذة في النونسي: وضع علامة على طلبات واجهة برمجة التطبيقات الإدارية التي تعيد استخدام nonces أو التي تنشأ من عناوين IP غير المرتبطة بتسجيل الدخول الأولي للبوابة.
الخاتمة: مستقبل أمن الهوية
CVE-2026-2026-20965 بمثابة تذكير صارخ بأننا عندما نجعل الإدارة مركزية من أجل الكفاءة، فإننا نزيد من مركزية المخاطر أيضًا. إن هجوم "خلط الرموز" هو أسلوب متطور يستغل البروتوكولات المصممة لحمايتنا. وللبقاء في مواجهة هذه التهديدات، يجب على فرق الأمن الانتقال إلى منصات اختبار مؤتمتة تعتمد على الذكاء الاصطناعي مثل Penligent التي يمكنها التفكير مثل المهاجمين والتحقق من صحة كل رابط في سلسلة الهوية.
روابط مرجعية موثوقة
- نصيحة مركز الاستجابة الأمنية لمايكروسوفت (MSRC) بشأن CVE-2026-20965
- مختبرات Cymulate Research Labs - كتابة تقنية عن استغلال خلط الرموز المميزة
- قاعدة البيانات الوطنية للثغرات الأمنية (NVD) التابعة للمعهد الوطني للمعايير والتكنولوجيا والابتكار - CVE-2026-20965 التفاصيل
- تحليل Rapid7 لعيوب مصادقة Azure لعام 2026
- Penligent.ai - منصة اختبار الاختراق الآلي المدعومة بالذكاء الاصطناعي
Arabic 
English 
German 
French 
Spanish 
Portuguese 
Japanese 
Korean 
Hindi 
Turkish 
Hebrew