No cenário de segurança cibernética de 2026, o conceito de "perímetro de rede" foi totalmente substituído pelo "perímetro de identidade". No entanto, a robustez desse perímetro é tão forte quanto a lógica de validação em nossas ferramentas administrativas. Em 13 de janeiro de 2026, uma vulnerabilidade crítica foi divulgada.CVE-2026-20965-que desafia fundamentalmente o modelo de confiança do gerenciamento de nuvem híbrida.
Essa vulnerabilidade na extensão do Azure do Windows Admin Center (WAC) permite que um invasor passe de um único servidor local comprometido para o controle administrativo total de todo um locatário do Azure. Este guia fornece uma análise aprofundada para engenheiros de segurança, pesquisadores de exploração e arquitetos de nuvem sobre a mecânica da mistura de tokens e a falha sistêmica da validação da Prova de Posse (PoP).
Entendendo o modelo de confiança do SSO do WAC e do Azure
O Windows Admin Center (WAC) funciona como o plano de gerenciamento centralizado para ecossistemas Windows, cada vez mais usado para gerenciar máquinas virtuais do Azure e servidores habilitados para Azure Arc diretamente do Portal do Azure. Para proporcionar uma experiência perfeita, a Microsoft utiliza um sofisticado fluxo de logon único (SSO) que envolve o Microsoft Entra ID (antigo Azure AD).
Esse fluxo se baseia na interação de dois tokens específicos:
- O token WAC.CheckAccess: Um token de portador padrão usado para autenticar a sessão do usuário no gateway WAC.
- O token PoP (Proof-of-Possession): Um token aprimorado projetado para evitar ataques de repetição. Ele contém um vínculo criptográfico com a solicitação específica e o recurso pretendido.
Em uma implementação segura, o backend do WAC deve garantir que ambos os tokens pertençam à mesma identidade. CVE-2026-20965 existe justamente porque essa obrigação não foi cumprida.
Causa raiz técnica: A primitiva de mistura de tokens
A essência do CVE-2026-20965 é a "mistura de tokens". A pesquisa conduzida pelo Cymulate Labs no final de 2025 revelou que o servidor WAC não valida que o Nome principal do usuário (UPN) no WAC.CheckAccess corresponde ao UPN no PoP token.
1. Exploração de incompatibilidade de UPN
Como o WAC trata esses dois tokens como verificações de validação independentes, um invasor pode usar um token roubado para fazer a validação. WAC.CheckAccess de um administrador com privilégios elevados e emparelhe-o com um token PoP token gerado pela própria conta de baixo privilégio do invasor. O servidor WAC vê dois tokens "validamente assinados" e prossegue com a solicitação administrativa, concedendo efetivamente ao invasor as permissões da sessão roubada.
2. Nonce e falhas de escopo
Além da incompatibilidade de identidade, a vulnerabilidade revelou várias outras lacunas de validação:
- Reutilização de nonce: O servidor falhou ao invalidar os nonces após um único uso, permitindo ataques do tipo replay dentro da janela de validade do token.
- Aceitação de DNS sem gateway: O protocolo PoP deve ter como escopo a URL do gateway. No entanto, o CVE-2026-20965 permitiu que o
uno token para apontar para endereços IP arbitrários ou domínios que não sejam de gateway na porta 6516, facilitando ataques diretos a nós internos. - Aceitação de tokens entre locatários: O WAC aceitava erroneamente tokens de PoP emitidos por um locatário externo controlado por um invasor, desde que a assinatura criptográfica fosse válida.
Cadeia de ataque detalhada: Do administrador local ao inquilino RCE
Para avaliar a gravidade do CVE-2026-20965, precisamos examinar o ciclo de vida típico do ataque usado para explorá-lo em um ambiente corporativo moderno.
Etapa 1: Comprometimento inicial e exfiltração de token
O invasor obtém acesso de administrador local em um computador gerenciado pelo WAC. Ao monitorar a memória ou interceptar o tráfego para o serviço do WAC (que geralmente é executado com privilégios elevados), o invasor extrai o WAC.CheckAccess token de um administrador que fez login recentemente por meio do Portal do Azure.
Etapa 2: Configuração do gateway desonesto
O invasor interrompe o serviço WAC legítimo e executa um ouvinte desonesto. Quando uma nova sessão administrativa é iniciada, o servidor desonesto captura os metadados necessários para facilitar o próximo estágio da exploração.
Etapa 3: Forjar o token PoP malicioso
Usando sua própria conta Azure de baixo privilégio (ou um locatário separado), o invasor gera um token PoP. Ele cria manualmente a carga útil do token para atingir uma VM específica do Azure dentro do locatário da vítima.
JSON
`// Exemplo de um cabeçalho de token de PoP forjado (simplificado) { "alg": "RS256", "typ": "pop", "kid": "attacker_key_id" }
// Exemplo de uma carga útil de token PoP mal-intencionada {"at": "eyJ0eXAiOiJKV1QiLCJhbGci...", "u": "10.0.0.5:6516", // IP de destino interno direto "m": "POST", "p": "/api/nodes/AzureVM01/features/powershell", "n": "reused_nonce_value", "ts": 1736761200 }`
Etapa 4: execução remota de código (RCE)
O invasor envia uma solicitação POST criada para a API do WAC, misturando o privilégio elevado roubado WAC.CheckAccess com o token forjado PoP token. O comando é executado por meio do gateway PowerShell do WAC, permitindo que o invasor execute scripts arbitrários em qualquer VM conectada ao locatário.
Cenário comparativo de vulnerabilidade: Janeiro de 2026
O lançamento da correção para a CVE-2026-20965 coincidiu com várias outras vulnerabilidades importantes no ciclo da Patch Tuesday de janeiro de 2026. A tabela a seguir fornece uma comparação de alto nível para ajudar as equipes de segurança a priorizar a correção.
| Identificador CVE | Componente | Impacto | CVSS 4.0 | Característica-chave |
|---|---|---|---|---|
| CVE-2026-20965 | Extensão do WAC Azure | RCE em todo o locatário | 7.5 | Mistura de tokens / desvio de autenticação |
| CVE-2026-20805 | Gerenciador de janelas da área de trabalho | Divulgação de informações | 5.5 | Explorado ativamente 0-day |
| CVE-2026-21265 | Inicialização segura do Windows | Desvio de recurso | 6.4 | Compromete a confiança no firmware |
| CVE-2026-20944 | Microsoft Office | Execução remota de código | 7.8 | Nenhuma interação com o usuário (painel de visualização) |
| CVE-2025-49231 | Máquina conectada ao Azure | Elevação de privilégio | 7.2 | Movimento lateral via Arc Agent |
Ao integrar Penligente (https://penligent.ai/) em seu fluxo de trabalho de segurança, você passa da aplicação reativa de patches para a verificação proativa e orientada por IA dos limites de sua identidade na nuvem.
Diretrizes estratégicas de remediação e proteção
A proteção contra o CVE-2026-20965 exige uma abordagem em várias camadas que vai além da atualização inicial do software.
1. Atualizações imediatas de software
As organizações devem atualizar a extensão do Windows Admin Center Azure para versão 0.70.0.0 ou superior. Essa versão implementa a correspondência estrita de UPN e fecha a brecha de reutilização de nonce.
2. Fortalecimento do acesso condicional ao Entra ID
Implementar políticas de acesso condicional que exijam MFA resistente a phishing (como chaves FIDO2) para todas as sessões administrativas. Além disso, use Proteção de token (Token Binding) quando suportado para garantir que os tokens não possam ser facilmente exfiltrados e usados em dispositivos secundários.
3. Isolamento de rede para portas de gerenciamento
Limitar estritamente o acesso à porta 6516 (a porta de gerenciamento do WAC). Certifique-se de que somente estações de trabalho administrativas autorizadas ou hosts Bastion específicos possam se comunicar com essa porta nos nós gerenciados.
4. Monitoramento e caça a ameaças
Os Centros de Operações de Segurança (SOC) devem implementar consultas de busca para detectar anomalias no uso de tokens.
- Pesquisa de vários UPNs: Procure sessões em que o
AtorUPN e oAssuntoO UPN nos registros do Entra ID não corresponde. - Monitorar anomalias de nonce: Sinaliza solicitações de API administrativas que reutilizam nonces ou se originam de endereços IP não associados ao login inicial do gateway.
Conclusão: O futuro da segurança da identidade
O CVE-2026-20965 serve como um lembrete de que, ao centralizarmos o gerenciamento em prol da eficiência, também centralizamos o risco. O ataque "Token Mixing" é uma técnica sofisticada que explora os próprios protocolos criados para nos proteger. Para ficar à frente dessas ameaças, as equipes de segurança devem adotar plataformas de teste automatizadas e orientadas por IA, como a Penligent, que podem pensar como um invasor e validar todos os elos da cadeia de identidade.
Links de referência autorizados
- Aviso do Centro de Resposta de Segurança da Microsoft (MSRC) para CVE-2026-20965
- Cymulate Research Labs - Redação técnica sobre a exploração de mistura de tokens
- Banco de dados nacional de vulnerabilidades (NVD) do NIST - detalhes do CVE-2026-20965
- Análise Rapid7 das falhas de autenticação do Azure em 2026
- Penligent.ai - Plataforma automatizada de testes de penetração com tecnologia de IA
Portuguese 
English 
German 
French 
Spanish 
Japanese 
Korean 
Hindi 
Arabic 
Turkish 
Hebrew