כותרת Penligent

התמוטטות גבולות הזהות: ניתוח טכני של CVE-2026-20965 ו-Azure Token Mixing

בנוף אבטחת הסייבר של שנת 2026, המושג "היקף הרשת" הוחלף לחלוטין ב"היקף הזהות". עם זאת, חוזק היקף זה תלוי בחוזק לוגיקת האימות בתוך כלי הניהול שלנו. ב-13 בינואר 2026, נחשפה פגיעות קריטית —CVE-2026-20965—המהווה אתגר מהותי למודל האמון של ניהול ענן היברידי.

פגיעות זו ב-Windows Admin Center (WAC) Azure Extension מאפשרת לתוקף לעבור משרת מקומי בודד שנפרץ לשליטה ניהולית מלאה על דייר Azure שלם. מדריך זה מספק ניתוח מעמיק למהנדסי אבטחה, חוקרי ניצול וארכיטקטי ענן על המכניקה של ערבוב אסימונים והכשל המערכתי של אימות Proof-of-Possession (PoP).

הבנת מודל האמון של WAC ו-Azure SSO

Windows Admin Center (WAC) משמש כמישור ניהול מרכזי עבור מערכות Windows, ומשמש יותר ויותר לניהול מכונות וירטואליות של Azure ושרתים התומכים ב-Azure Arc ישירות מ-Azure Portal. כדי לספק חוויה חלקה, Microsoft משתמשת בתהליך כניסה יחידה (SSO) מתוחכם הכולל את Microsoft Entra ID (לשעבר Azure AD).

זרימה זו מבוססת על האינטראקציה בין שני אסימונים ספציפיים:

  1. אסימון WAC.CheckAccess: אסימון Bearer סטנדרטי המשמש לאימות הפעלה של המשתמש בשער WAC.
  2. אסימון ה-PoP (הוכחת בעלות): אסימון משופר שנועד למנוע התקפות שידור חוזר. הוא מכיל קישור קריפטוגרפי לבקשה הספציפית ולמשאב המיועד.

במסגרת יישום מאובטח, ה-WAC backend חייב לוודא ששני האסימונים שייכים לאותה זהות. CVE-2026-20965 קיים בדיוק בגלל שההתחייבות הזו לא נאכפה.

התמוטטות גבולות הזהות: ניתוח טכני של CVE-2026-20965 ו-Azure Token Mixing

הגורם הטכני הבסיסי: פרימיטיב ערבוב האסימונים

המהות של CVE-2026-20965 היא "ערבוב אסימונים". מחקר שהוביל Cymulate Labs בסוף 2025 גילה כי שרת WAC אינו מאמת את ה- שם עיקרי של משתמש (UPN) ב WAC.CheckAccess האסימון תואם ל-UPN ב- PoP אסימון.

1. ניצול אי-התאמה ב-UPN

מכיוון ש-WAC מתייחס לשני האסימונים הללו כאל בדיקות אימות עצמאיות, תוקף יכול להשתמש באסימון גנוב WAC.CheckAccess אסימון ממנהל בעל הרשאות גבוהות וצמד אותו עם PoP אסימון שנוצר על ידי חשבון בעל הרשאות נמוכות של התוקף. שרת ה-WAC רואה שני אסימונים "חתומים באופן תקף" וממשיך בבקשה הניהולית, ובכך מעניק לתוקף את ההרשאות של ההפעלה הגנובה.

2. כשלים ב-Nonce וב-Scoping

מעבר לאי-התאמת הזהות, הפגיעות חשפה מספר פערים נוספים בתהליך האימות:

  • שימוש חוזר ב-Nonce: השרת לא הצליח לבטל את תוקף ה-nonces לאחר שימוש חד-פעמי, מה שאפשר התקפות מסוג replay בתוך חלון התוקף של האסימון.
  • קבלת DNS שאינו שער: פרוטוקול PoP אמור להיות מוגבל לכתובת ה-URL של השער. עם זאת, CVE-2026-20965 איפשר ל- u בשדה האסימון כדי להצביע על כתובות IP שרירותיות או דומיינים שאינם שער כניסה ביציאה 6516, מה שמקל על תקיפות ישירות על צמתים פנימיים.
  • קבלת אסימונים בין דיירים: WAC יקבל בטעות אסימוני PoP שהונפקו על ידי דייר חיצוני הנשלט על ידי תוקף, כל עוד החתימה הקריפטוגרפית הייתה תקפה.

שרשרת התקפה מפורטת: ממנהל מקומי ל-RCE של דייר

כדי להבין את חומרת CVE-2026-20965, עלינו לבחון את מחזור החיים הטיפוסי של מתקפה המנצלת אותו בסביבה ארגונית מודרנית.

שלב 1: פשרה ראשונית והוצאת אסימונים

התוקף מקבל גישה של מנהל מקומי למחשב המנוהל על ידי WAC. על ידי ניטור הזיכרון או יירוט התעבורה לשירות WAC (שלעתים קרובות פועל עם הרשאות גבוהות), התוקף מחלץ את WAC.CheckAccess אסימון של מנהל מערכת שנכנס לאחרונה דרך פורטל Azure.

התמוטטות גבולות הזהות: ניתוח טכני של CVE-2026-20965 ו-Azure Token Mixing

שלב 2: הגדרת השער המזויף

התוקף עוצר את שירות ה-WAC הלגיטימי ומפעיל מאזין זדוני. כאשר מתחיל מושב ניהול חדש, השרת הזדוני לוכד את המטא-נתונים הדרושים כדי להקל על השלב הבא של הניצול.

שלב 3: זיוף אסימון PoP הזדוני

באמצעות חשבון Azure בעל הרשאות נמוכות משלו (או דייר נפרד), התוקף מייצר אסימון PoP. הוא יוצר באופן ידני את המטען של האסימון כדי לכוון למחשב וירטואלי Azure ספציפי בתוך הדייר של הקורבן.

JSON

// דוגמה לכותרת אסימון PoP מזויפת (מפושטת) { "alg": "RS256", "typ": "pop", "kid": "attacker_key_id" }

// דוגמה למטען PoP זדוני { "at": "eyJ0eXAiOiJKV1QiLCJhbGci…", "u": "10.0.0.5:6516", // IP פנימי ישיר של היעד "m": "POST", "p": "/api/nodes/AzureVM01/features/powershell", "n": "reused_nonce_value", "ts": 1736761200 }`

שלב 4: ביצוע קוד מרחוק (RCE)

התוקף שולח בקשת POST מתוכננת ל-WAC API, תוך שילוב הרשאות גבוהות שנגנבו. WAC.CheckAccess אסימון עם המזויף PoP אסימון. הפקודה מבוצעת באמצעות שער PowerShell של WAC, מה שמאפשר לתוקף להריץ סקריפטים שרירותיים על כל מכונה וירטואלית המחוברת לדייר.

תמונת מצב השוואתית של הפגיעות: ינואר 2026

שחרור התיקון ל-CVE-2026-20965 התרחש במקביל למספר פגיעויות משמעותיות אחרות במחזור תיקוני יום שלישי של ינואר 2026. הטבלה הבאה מספקת השוואה כללית כדי לסייע לצוותי האבטחה לקבוע סדרי עדיפויות לתיקון.

מזהה CVEרכיבהשפעהCVSS 4.0מאפיין מרכזי
CVE-2026-20965הרחבת WAC AzureRCE לכל הדיירים7.5ערבוב אסימונים / עקיפת אימות
CVE-2026-20805מנהל חלונות שולחן העבודהגילוי מידע5.50-day המנוצל באופן פעיל
CVE-2026-21265אתחול מאובטח של Windowsעקיפת תכונה6.4פשרות אמון בקושחה
CVE-2026-20944Microsoft Officeביצוע קוד מרחוק7.8ללא אינטראקציה של המשתמש (חלונית תצוגה מקדימה)
CVE-2025-49231מכונה מחוברת Azureהעלאת זכויות יתר7.2תנועה לרוחב באמצעות Arc Agent

על ידי שילוב Penligent (https://penligent.ai/) לזרימת העבודה האבטחתית שלכם, אתם עוברים מתיקון תגובתי לאימות יזום, המונע על ידי בינה מלאכותית, של גבולות הזהות שלכם בענן.

קבלו PoC חינם כאן >>

הנחיות אסטרטגיות לתיקון וחיזוק

ההגנה מפני CVE-2026-20965 דורשת גישה רב-שכבתית החורגת מעבר לעדכון התוכנה הראשוני.

1. עדכוני תוכנה מיידיים

ארגונים חייבים לעדכן את הרחבת Azure של Windows Admin Center כדי גרסה 0.70.0.0 או גבוה יותר. גרסה זו מיישמת התאמת UPN קפדנית וסוגרת את הפרצה של שימוש חוזר ב-nonce.

2. חיזוק הגישה המותנית של Entra ID

יש ליישם מדיניות גישה מותנית הדורשת MFA עמיד בפני פישינג (כגון מפתחות FIDO2) עבור כל הפעלות הניהול. בנוסף, השתמש ב- הגנה על אסימונים (קישור אסימונים) כאשר הדבר נתמך, כדי להבטיח שאסימונים לא יוכלו להיחשף בקלות ולהיות בשימוש במכשירים משניים.

3. בידוד רשת עבור יציאות ניהול

הגבל את הגישה ליציאה באופן קפדני 6516 (יציאת הניהול של WAC). ודא שרק תחנות עבודה מנהליות מורשות או מארחים ספציפיים של Bastion יכולים לתקשר עם יציאה זו בנקודות קצה מנוהלות.

4. ניטור ואיתור איומים

מרכזי תפעול אבטחה (SOC) צריכים ליישם שאילתות איתור כדי לזהות חריגות בשימוש באסימונים.

  • חיפוש אחר מספר UPNs: חפש מפגשים שבהם שחקן UPN וה- נושא UPN ביומני Entra ID אינם תואמים.
  • ניטור חריגות Nonce: סימון בקשות API מנהליות המשתמשות מחדש ב-nonces או שמקורן בכתובות IP שאינן קשורות לכניסה הראשונית לשער.

מסקנה: העתיד של אבטחת זהות

CVE-2026-20965 מהווה תזכורת חדה לכך שכאשר אנו ממרכזים את הניהול למען היעילות, אנו ממרכזים גם את הסיכון. מתקפת "Token Mixing" היא טכניקה מתוחכמת המנצלת את אותם פרוטוקולים שנועדו להגן עלינו. כדי להקדים את האיומים הללו, צוותי האבטחה חייבים לעבור לפלטפורמות בדיקה אוטומטיות המונעות על ידי בינה מלאכותית, כמו Penligent, שיכולות לחשוב כמו תוקף ולאמת כל חוליה בשרשרת הזהויות.

קישורים למקורות סמכותיים

שתף את הפוסט:
פוסטים קשורים
כותרת תחתונה של Penligent
he_ILHebrew
en_USEnglish de_DEGerman fr_FRFrench es_ESSpanish pt_BRPortuguese jaJapanese ko_KRKorean hi_INHindi arArabic tr_TRTurkish he_ILHebrew