Dans le paysage de la cybersécurité de 2026, le concept de "périmètre de réseau" a été entièrement remplacé par le "périmètre d'identité". Toutefois, la robustesse de ce périmètre dépend de la logique de validation de nos outils administratifs. Le 13 janvier 2026, une vulnérabilité critique a été divulguée...CVE-2026-20965-qui remet fondamentalement en question le modèle de confiance de la gestion des nuages hybrides.
Cette vulnérabilité dans l'extension Windows Admin Center (WAC) Azure permet à un attaquant de passer d'un simple serveur local compromis à un contrôle administratif complet sur l'ensemble d'un locataire Azure. Ce guide fournit une analyse approfondie pour les ingénieurs en sécurité, les chercheurs d'exploits et les architectes de l'informatique en nuage sur les mécanismes de mélange de jetons et l'échec systémique de la validation de la preuve de possession (PoP).
Comprendre le modèle de confiance WAC et Azure SSO
Windows Admin Center (WAC) sert de plan de gestion centralisé pour les écosystèmes Windows, de plus en plus utilisé pour gérer les machines virtuelles Azure et les serveurs Azure Arc directement à partir du portail Azure. Pour offrir une expérience transparente, Microsoft utilise un flux d'authentification unique (SSO) sophistiqué impliquant Microsoft Entra ID (anciennement Azure AD).
Ce flux repose sur l'interaction de deux éléments spécifiques :
- Le jeton WAC.CheckAccess: Jeton de support standard utilisé pour authentifier la session de l'utilisateur à la passerelle WAC.
- Le jeton PoP (Proof-of-Possession): Un jeton amélioré conçu pour empêcher les attaques par rejeu. Il contient une liaison cryptographique avec la demande spécifique et la ressource prévue.
Dans le cadre d'une implémentation sécurisée, le backend WAC doit s'assurer que les deux jetons appartiennent à la même identité. CVE-2026-20965 existe précisément parce que cette obligation n'a pas été appliquée.
Cause technique fondamentale : La primitive de mélange de jetons
L'essence de CVE-2026-20965 est le "mélange de jetons". Des recherches menées par Cymulate Labs fin 2025 ont révélé que le serveur WAC ne valide pas le fait que le Nom principal de l'utilisateur (UPN) dans le WAC.CheckAccess correspond à l'UPN dans le PoP de jetons.
1. Exploitation de la non-concordance UPN
Comme WAC traite ces deux jetons comme des contrôles de validation indépendants, un attaquant peut utiliser un jeton WAC.CheckAccess d'un administrateur disposant de privilèges élevés et l'associer à un jeton PoP généré par le compte à faible privilège de l'attaquant. Le serveur WAC voit deux jetons "valablement signés" et procède à la demande administrative, accordant effectivement à l'attaquant les autorisations de la session volée.
2. Défauts de nonce et de cadrage
Au-delà de la non-concordance des identités, la vulnérabilité a révélé plusieurs autres lacunes en matière de validation :
- Réutilisation de nonce: Le serveur n'invalidait pas les nonces après une seule utilisation, ce qui permettait des attaques de type "replay" dans la fenêtre de validité du jeton.
- Acceptation de DNS sans passerelle: Le protocole PoP est censé être limité à l'URL de la passerelle. Cependant, la CVE-2026-20965 a permis à l'utilisateur du protocole PoP d'utiliser l'URL de la passerelle.
udans le jeton pour pointer vers des adresses IP arbitraires ou des domaines sans passerelle sur le port 6516, facilitant ainsi les attaques directes sur les nœuds internes. - Acceptation de jetons par plusieurs locataires: WAC accepte par erreur les jetons PoP émis par un locataire externe contrôlé par l'attaquant, tant que la signature cryptographique est valide.
Chaîne d'attaque détaillée : De l'administrateur local au locataire RCE
Pour apprécier la gravité de CVE-2026-20965, nous devons examiner le cycle de vie d'une attaque typique utilisée pour l'exploiter dans un environnement d'entreprise moderne.
Étape 1 : Compromission initiale et exfiltration de jetons
L'attaquant obtient un accès d'administrateur local sur une machine gérée par WAC. En surveillant la mémoire ou en interceptant le trafic vers le service WAC (qui s'exécute souvent avec des privilèges élevés), l'attaquant extrait les informations suivantes WAC.CheckAccess d'un administrateur qui s'est récemment connecté via le portail Azure.
Étape 2 : Configuration de la passerelle Rogue
L'attaquant arrête le service WAC légitime et exécute un serveur d'écoute malhonnête. Lorsqu'une nouvelle session administrative est lancée, le serveur malhonnête capture les métadonnées nécessaires pour faciliter l'étape suivante de l'exploit.
Étape 3 : Falsification du jeton PoP malveillant
En utilisant son propre compte Azure à faible privilège (ou un locataire séparé), l'attaquant génère un jeton PoP. Il élabore manuellement la charge utile du jeton pour cibler une VM Azure spécifique au sein du locataire de la victime.
JSON
`// Exemple d'en-tête de jeton PoP falsifié (simplifié) { "alg" : "RS256", "typ" : "pop", "kid" : "attacker_key_id" }
// Exemple d'un Token PoP malveillant Payload { "at" : "eyJ0eXAiOiJKV1QiLCJhbGci...", "u" : "10.0.0.5:6516", // IP cible interne directe "m" : "POST", "p" : "/api/nodes/AzureVM01/features/powershell", "n" : "reused_nonce_value", "ts" : 1736761200 }`
Étape 4 : Exécution de code à distance (RCE)
L'attaquant envoie une requête POST élaborée à l'API WAC, en mélangeant les privilèges élevés volés à l'API WAC. WAC.CheckAccess avec le faux PoP token. La commande est exécutée via la passerelle PowerShell de WAC, ce qui permet à l'attaquant d'exécuter des scripts arbitraires sur n'importe quelle machine virtuelle connectée au locataire.
Paysage comparatif de la vulnérabilité : Janvier 2026
La publication du correctif pour CVE-2026-20965 a coïncidé avec plusieurs autres vulnérabilités majeures dans le cycle du Patch Tuesday de janvier 2026. Le tableau suivant fournit une comparaison de haut niveau pour aider les équipes de sécurité à hiérarchiser les mesures correctives.
| Identifiant CVE | Composant | Impact | CVSS 4.0 | Caractéristiques principales |
|---|---|---|---|---|
| CVE-2026-20965 | Extension WAC Azure | RCE à l'échelle du locataire | 7.5 | Mélange de jetons / contournement de l'authentification |
| CVE-2026-20805 | Gestionnaire de fenêtres de bureau | Divulgation d'informations | 5.5 | 0-day activement exploité |
| CVE-2026-21265 | Démarrage sécurisé de Windows | Contournement des fonctionnalités | 6.4 | Compromet la confiance dans les microprogrammes |
| CVE-2026-20944 | Microsoft Office | Exécution de code à distance | 7.8 | Pas d'interaction avec l'utilisateur (volet de prévisualisation) |
| CVE-2025-49231 | Machine connectée Azure | Élévation de privilèges | 7.2 | Mouvement latéral par l'intermédiaire de l'agent Arc |
En intégrant Penligent (https://penligent.ai/) dans votre flux de travail de sécurité, vous passez d'un correctif réactif à une vérification proactive, pilotée par l'IA, des limites de votre identité dans le nuage.
Lignes directrices pour l'assainissement stratégique et le renforcement des capacités
La protection contre CVE-2026-20965 nécessite une approche multicouche qui va au-delà de la mise à jour initiale du logiciel.
1. Mises à jour immédiates des logiciels
Les organisations doivent mettre à jour l'extension Windows Admin Center Azure pour version 0.70.0.0 ou plus. Cette version met en œuvre une correspondance UPN stricte et supprime l'échappatoire de la réutilisation des nonce.
2. Renforcement de l'accès conditionnel à Entra ID
Mettre en œuvre des politiques d'accès conditionnel qui exigent L'AFM résistante au phishing (telles que les clés FIDO2) pour toutes les sessions administratives. En outre, il convient d'utiliser Protection des jetons (Token Binding) afin de garantir que les jetons ne peuvent pas être facilement exfiltrés et utilisés sur des dispositifs secondaires.
3. Isolation du réseau pour les ports de gestion
Limiter strictement l'accès au port 6516 (le port de gestion WAC). Assurez-vous que seuls les postes de travail administratifs autorisés ou les hôtes Bastion spécifiques peuvent communiquer avec ce port sur les nœuds gérés.
4. Surveillance et chasse aux menaces
Les centres opérationnels de sécurité (SOC) devraient mettre en œuvre des requêtes de recherche pour détecter les anomalies dans l'utilisation des jetons.
- Recherche de plusieurs UPN: Recherchez les sessions où le
ActeurUPN et leSujetL'UPN dans les journaux d'Entra ID ne correspond pas. - Surveiller les anomalies de nonce: Signaler les demandes d'API administratives qui réutilisent des nonces ou qui proviennent d'adresses IP non associées à la connexion initiale à la passerelle.
Conclusion : L'avenir de la sécurité de l'identité
CVE-2026-20965 nous rappelle brutalement qu'en centralisant la gestion dans un souci d'efficacité, nous centralisons également les risques. L'attaque "Token Mixing" est une technique sophistiquée qui exploite les protocoles mêmes conçus pour nous protéger. Pour garder une longueur d'avance sur ces menaces, les équipes de sécurité doivent s'orienter vers des plateformes de test automatisées et pilotées par l'IA, comme Penligent, qui peuvent penser comme un attaquant et valider chaque maillon de la chaîne d'identité.
Liens de référence faisant autorité
- Avis du Microsoft Security Response Center (MSRC) pour CVE-2026-20965
- Cymulate Research Labs - Note technique sur l'exploitation du mélange de jetons (Token Mixing)
- Base de données nationale des vulnérabilités (NVD) du NIST - CVE-2026-20965 Detail
- Analyse de Rapid7 sur les failles d'authentification d'Azure 2026
- Penligent.ai - Plateforme de test de pénétration automatisée et alimentée par l'IA
French 
English 
German 
Spanish 
Portuguese 
Japanese 
Korean 
Hindi 
Arabic 
Turkish 
Hebrew