En el panorama de la ciberseguridad de 2026, el concepto de "perímetro de red" ha sido totalmente sustituido por el de "perímetro de identidad". Sin embargo, la solidez de este perímetro sólo es tan fuerte como la lógica de validación dentro de nuestras herramientas administrativas. El 13 de enero de 2026, se reveló una vulnerabilidad crítica...CVE-2026-20965-que desafía fundamentalmente el modelo de confianza de la gestión de nubes híbridas.
Esta vulnerabilidad en la extensión Azure de Windows Admin Center (WAC) permite a un atacante pasar de un único servidor local comprometido al control administrativo total de todo un inquilino de Azure. Esta guía proporciona un análisis en profundidad para ingenieros de seguridad, investigadores de exploits y arquitectos de la nube sobre la mecánica de la mezcla de tokens y el fallo sistémico de la validación de la prueba de posesión (PoP).
Comprender el modelo de confianza de WAC y Azure SSO
Windows Admin Center (WAC) sirve como plano de gestión centralizado para ecosistemas Windows, cada vez más utilizado para gestionar máquinas virtuales Azure y servidores habilitados para Azure Arc directamente desde el portal Azure. Para proporcionar una experiencia sin fisuras, Microsoft utiliza un sofisticado flujo de inicio de sesión único (SSO) que implica Microsoft Entra ID (anteriormente Azure AD).
Este flujo se basa en la interacción de dos fichas específicas:
- El token WAC.CheckAccess: Un token de portador estándar utilizado para autenticar la sesión del usuario en la pasarela WAC.
- El token PoP (prueba de posesión): Un token mejorado diseñado para evitar ataques de repetición. Contiene un enlace criptográfico a la solicitud específica y al recurso previsto.
En una implementación segura, el backend WAC debe garantizar que ambos tokens pertenecen a la misma identidad. CVE-2026-20965 existe precisamente porque esta obligación no se cumplió.
Causa técnica: La primitiva de mezcla de fichas
La esencia de CVE-2026-20965 es "Token Mixing". Una investigación dirigida por Cymulate Labs a finales de 2025 reveló que el servidor WAC no valida que el Nombre de usuario principal (UPN) en el WAC.ComprobarAcceso coincide con el UPN del PdP simbólico.
1. Explotación de la discordancia UPN
Dado que WAC trata estos dos tokens como comprobaciones de validación independientes, un atacante puede utilizar un WAC.ComprobarAcceso de un administrador con privilegios elevados y emparejarlo con un PdP token generado por la propia cuenta de bajo privilegio del atacante. El servidor WAC ve dos tokens "firmados válidamente" y procede con la solicitud administrativa, concediendo efectivamente al atacante los permisos de la sesión robada.
2. Nonce y fallos de alcance
Además de la falta de coincidencia de identidad, la vulnerabilidad reveló otras lagunas de validación:
- Reutilización de Nonce: El servidor no invalidaba los nonces después de un solo uso, lo que permitía ataques de tipo repetición dentro de la ventana de validez del token.
- Aceptación de DNS sin pasarela: Se supone que el protocolo PoP debe estar limitado a la URL de la puerta de enlace. Sin embargo, CVE-2026-20965 permitió que el
uen el token para apuntar a direcciones IP arbitrarias o dominios no gateway en el puerto 6516, facilitando ataques directos a nodos internos. - Aceptación de tokens entre inquilinos: WAC aceptaba por error tokens PoP emitidos por un inquilino externo controlado por un atacante, siempre y cuando la firma criptográfica fuera válida.
Cadena de ataque detallada: Del administrador local al RCE del inquilino
Para apreciar la gravedad de CVE-2026-20965, debemos examinar el ciclo de vida de ataque típico utilizado para explotarlo en un entorno empresarial moderno.
Paso 1: Compromiso inicial y extracción de tokens
El atacante obtiene acceso de administrador local en una máquina gestionada por WAC. Monitorizando la memoria o interceptando el tráfico al servicio WAC (que a menudo se ejecuta con privilegios elevados), el atacante extrae el WAC.ComprobarAcceso token de un administrador que ha iniciado sesión recientemente a través del Portal Azure.
Paso 2: Configuración de la puerta de enlace fraudulenta
El atacante detiene el servicio WAC legítimo y ejecuta un rogue listener. Cuando se inicia una nueva sesión administrativa, el servidor falso captura los metadatos necesarios para facilitar la siguiente etapa del exploit.
Paso 3: Falsificación del token PoP malicioso
Utilizando su propia cuenta Azure de bajo privilegio (o un tenant separado), el atacante genera un token PoP. El atacante elabora manualmente la carga útil del token para apuntar a una máquina virtual Azure específica dentro del inquilino de la víctima.
JSON
`// Ejemplo de una cabecera de token PoP falsificada (simplificada) { "alg": "RS256", "typ": "pop", "kid": "attacker_key_id" }
// Ejemplo de carga maliciosa de token PoP { "at": "eyJ0eXAiOiJKV1QiLCJhbGci...", "u": "10.0.0.5:6516", // IP de destino interna directa "m": "POST", "p": "/api/nodes/AzureVM01/features/powershell", "n": "reused_nonce_value", "ts": 1736761200 }`
Paso 4: Ejecución remota de código (RCE)
El atacante envía una solicitud POST falsificada a la API WAC, mezclando los privilegios robados. WAC.ComprobarAcceso token con el PdP token. El comando se ejecuta a través de la puerta de enlace PowerShell de WAC, lo que permite al atacante ejecutar scripts arbitrarios en cualquier máquina virtual conectada al inquilino.
Panorama comparativo de la vulnerabilidad: Enero de 2026
La publicación de la corrección de CVE-2026-20965 coincidió con otras vulnerabilidades importantes en el ciclo del martes de parches de enero de 2026. La siguiente tabla ofrece una comparación de alto nivel para ayudar a los equipos de seguridad a priorizar la corrección.
| Identificador CVE | Componente | Impacto | CVSS 4.0 | Característica clave |
|---|---|---|---|---|
| CVE-2026-20965 | Extensión WAC Azure | RCE para todos los inquilinos | 7.5 | Mezcla de tokens / Anulación de autenticación |
| CVE-2026-20805 | Gestor de ventanas de escritorio | Información | 5.5 | Día 0 explotado activamente |
| CVE-2026-21265 | Arranque seguro de Windows | Función Bypass | 6.4 | Compromete la confianza en el firmware |
| CVE-2026-20944 | Microsoft Office | Ejecución remota de código | 7.8 | Sin interacción del usuario (panel de vista previa) |
| CVE-2025-49231 | Máquina conectada Azure | Elevación de privilegios | 7.2 | Movimiento lateral mediante Arc Agent |
Mediante la integración Penligent (https://penligent.ai/) en su flujo de trabajo de seguridad, pasará de la aplicación reactiva de parches a la verificación proactiva impulsada por IA de sus límites de identidad en la nube.
Directrices estratégicas de reparación y refuerzo
La protección contra CVE-2026-20965 requiere un enfoque multicapa que va más allá de la actualización inicial del software.
1. Actualizaciones inmediatas de software
Las organizaciones deben actualizar la extensión Azure del Centro de administración de Windows para versión 0.70.0.0 o superior. Esta versión implementa la coincidencia UPN estricta y cierra la laguna de reutilización de nonce.
2. Reforzar el acceso condicional a Entra ID
Aplicar políticas de acceso condicional que exijan AMF resistente al phishing (como las claves FIDO2) para todas las sesiones administrativas. Además, utilice Protección de tokens (Token Binding) para garantizar que los tokens no puedan ser fácilmente filtrados y utilizados en dispositivos secundarios.
3. Aislamiento de red para puertos de gestión
Limitar estrictamente el acceso al puerto 6516 (el puerto de gestión del WAC). Asegúrese de que sólo las estaciones de trabajo administrativas autorizadas o los hosts Bastion específicos puedan comunicarse con este puerto en los nodos gestionados.
4. Supervisión y caza de amenazas
Los Centros de Operaciones de Seguridad (SOC) deben implementar consultas de caza para detectar anomalías en el uso de tokens.
- Búsqueda de varios UPN: Busque sesiones en las que el
ActorUPN y laAsuntoEl UPN en los registros de Entra ID no coinciden. - Supervisar las anomalías de Nonce: Marca las solicitudes de API administrativas que reutilizan nonces o se originan en direcciones IP no asociadas con el inicio de sesión inicial de la puerta de enlace.
Conclusiones: El futuro de la seguridad de la identidad
CVE-2026-20965 nos recuerda que, al centralizar la gestión en aras de la eficacia, también centralizamos el riesgo. El ataque "Token Mixing" es una técnica sofisticada que explota los mismos protocolos diseñados para protegernos. Para adelantarse a estas amenazas, los equipos de seguridad deben adoptar plataformas de pruebas automatizadas basadas en IA, como Penligent, que pueden pensar como un atacante y validar cada eslabón de la cadena de identidad.
Enlaces de referencia autorizados
- Aviso del Centro de respuesta de seguridad de Microsoft (MSRC) para CVE-2026-20965
- Cymulate Research Labs - Informe técnico sobre la explotación de la mezcla de tokens
- Base de datos nacional de vulnerabilidades (NVD) del NIST - CVE-2026-20965 Detail
- Rapid7 analiza los fallos de autenticación de Azure en 2026
- Penligent.ai - Plataforma automatizada de pruebas de penetración basada en IA
Spanish 
English 
German 
French 
Portuguese 
Japanese 
Korean 
Hindi 
Arabic 
Turkish 
Hebrew