Kimlik Çevresinin Çöküşü: CVE-2026-20965 ve Azure Token Karıştırma Teknik Analizi

2026'nın siber güvenlik ortamında "ağ çevresi" kavramının yerini tamamen "kimlik çevresi" almıştır. Ancak, bu çevrenin sağlamlığı yalnızca idari araçlarımızdaki doğrulama mantığı kadar güçlüdür. 13 Ocak 2026'da kritik bir güvenlik açığı ortaya çıktı-CVE-2026-20965-Bu da hibrit bulut yönetiminin güven modeline temelden meydan okuyor.

Windows Admin Center (WAC) Azure Extension'daki bu güvenlik açığı, bir saldırganın güvenliği ihlal edilmiş tek bir yerel sunucudan tüm Azure kiracısı üzerinde tam yönetim kontrolüne geçmesine olanak tanır. Bu kılavuz, güvenlik mühendisleri, istismar araştırmacıları ve bulut mimarları için token karıştırma mekaniği ve Proof-of-Possession (PoP) doğrulamasının sistemik başarısızlığı hakkında derinlemesine bir analiz sağlar.

WAC ve Azure SSO Güven Modelini Anlama

Windows Admin Center (WAC), Azure Sanal Makineleri ve Azure Arc özellikli sunucuları doğrudan Azure Portal'dan yönetmek için giderek daha fazla kullanılan Windows ekosistemleri için merkezi yönetim düzlemi olarak hizmet vermektedir. Sorunsuz bir deneyim sağlamak için Microsoft, Microsoft Entra ID'yi (eski adıyla Azure AD) içeren gelişmiş bir Çoklu Oturum Açma (SSO) akışı kullanır.

Bu akış, iki özel simgenin karşılıklı etkileşimine dayanır:

1. WAC.CheckAccess Belirteci: Kullanıcının oturumunu WAC ağ geçidine doğrulamak için kullanılan standart bir Taşıyıcı belirteci.
2. PoP (Proof-of-Possession) Token: Yeniden oynatma saldırılarını önlemek için tasarlanmış gelişmiş bir belirteç. Belirli bir talebe ve amaçlanan kaynağa kriptografik bir bağ içerir.

Güvenli bir uygulama altında, DAK arka ucu her iki tokenin de aynı kimliğe ait olduğundan emin olmalıdır. CVE-2026-20965 tam da bu bağlayıcılık uygulanmadığı için mevcuttur.

Teknik Kök Neden: Jeton Karıştırma İlkeli

CVE-2026-20965'in özü "Token Karıştırma "dır. Cymulate Labs tarafından 2025'in sonlarında yürütülen araştırma, WAC sunucusunun Kullanıcı Asıl Adı (UPN) içinde WAC.CheckAccess belirteci ile eşleşen UPN PoP Token.

1. UPN Uyuşmazlığı İstismarı

WAC bu iki belirteci bağımsız doğrulama kontrolleri olarak ele aldığından, bir saldırgan çalıntı bir WAC.CheckAccess belirtecini yüksek ayrıcalıklı bir yöneticiden alın ve bir PoP saldırganın kendi düşük ayrıcalıklı hesabı tarafından oluşturulan belirteç. DAK sunucusu iki "geçerli olarak imzalanmış" belirteç görür ve saldırgana çalınan oturumun izinlerini etkin bir şekilde vererek yönetim talebiyle devam eder.

2. Nonce ve Kapsamlama Hataları

Kimlik uyuşmazlığının ötesinde, güvenlik açığı başka doğrulama eksikliklerini de ortaya çıkardı:

• Nonce Yeniden Kullanımı: Sunucu, tek bir kullanımdan sonra nonce'ları geçersiz kılamadı, bu da token'ın geçerlilik penceresi içinde yeniden oynatma tarzı saldırılara izin verdi.
• Ağ Geçidi Olmayan DNS Kabulü: PoP protokolünün ağ geçidinin URL'sine göre kapsamlandırılması gerekmektedir. Ancak, CVE-2026-20965, ağ geçidinin u alanının 6516 numaralı bağlantı noktasındaki rastgele IP adreslerine veya ağ geçidi olmayan etki alanlarına işaret etmesini sağlayarak dahili düğümlere doğrudan saldırıları kolaylaştırır.
• Kiracılar Arası Token Kabulü: WAC, kriptografik imza geçerli olduğu sürece saldırgan kontrolündeki harici bir kiracıdan verilen PoP belirteçlerini yanlışlıkla kabul eder.

Detaylı Saldırı Zinciri: Yerel Yöneticiden Kiracı RCE'ye

CVE-2026-20965'in ciddiyetini anlamak için, modern bir kurumsal ortamda bundan yararlanmak için kullanılan tipik saldırı yaşam döngüsünü incelemeliyiz.

Adım 1: İlk Tehlike ve Token Sızıntısı

Saldırgan, WAC tarafından yönetilen bir makinede yerel yönetici erişimi elde eder. Saldırgan, belleği izleyerek veya WAC hizmetine (genellikle yüksek ayrıcalıklarla çalışır) giden trafiği keserek WAC.CheckAccess Azure Portal aracılığıyla kısa süre önce oturum açmış bir yöneticinin belirteci.

Adım 2: Rogue Ağ Geçidi Kurulumu

Saldırgan meşru WAC hizmetini durdurur ve sahte bir dinleyici çalıştırır. Yeni bir yönetici oturumu başlatıldığında, sahte sunucu istismarın bir sonraki aşamasını kolaylaştırmak için gerekli meta verileri yakalar.

Adım 3: Kötü Amaçlı PoP Belirtecinin Sahtesini Oluşturma

Saldırgan, kendi düşük ayrıcalıklı Azure hesabını (veya ayrı bir kiracıyı) kullanarak bir PoP belirteci oluşturur. Kurbanın kiracısındaki belirli bir Azure VM'sini hedeflemek için belirtecin yükünü el ile oluştururlar.

JSON

`// Sahte PoP Token Başlığı Örneği (Basitleştirilmiş) {"alg": "RS256", "typ": "pop", "kid": "attacker_key_id" }

// Kötü niyetli PoP Token Yükü örneği {"at": "eyJ0eXAiOiJKV1QiLCJhbGci...", "u": "10.0.0.5:6516", // Doğrudan dahili hedef IP "m": "POST", "p": "/api/nodes/AzureVM01/features/powershell", "n": "reused_nonce_value", "ts": 1736761200 }`

Adım 4: Uzaktan Kod Yürütme (RCE)

Saldırgan, WAC API'sine hazırlanmış bir POST isteği göndererek çalınan yüksek ayrıcalıklı WAC.CheckAccess token ile sahte PoP token. Komut, WAC'nin PowerShell ağ geçidi aracılığıyla yürütülür ve saldırganın kiracıya bağlı herhangi bir sanal makinede rastgele komut dosyaları çalıştırmasına olanak tanır.

Karşılaştırmalı Kırılganlık Manzarası: Ocak 2026

CVE-2026-20965 için düzeltmenin yayınlanması, Ocak 2026 Salı Yaması döngüsündeki diğer birkaç büyük güvenlik açığı ile aynı zamana denk geldi. Aşağıdaki tablo, güvenlik ekiplerinin düzeltmeye öncelik vermesine yardımcı olmak için üst düzey bir karşılaştırma sunmaktadır.

Entegre ederek Penligent (https://penligent.ai/) güvenlik iş akışınıza dahil ettiğinizde, reaktif yamalamadan bulut kimlik sınırlarınızın proaktif, yapay zeka odaklı doğrulamasına geçersiniz.

Stratejik İyileştirme ve Güçlendirme Kılavuzları

CVE-2026-20965'e karşı koruma, ilk yazılım güncellemesinin ötesine geçen çok katmanlı bir yaklaşım gerektirir.

1. Anında Yazılım Güncellemeleri

Kuruluşlar, Windows Admin Center Azure Uzantısı'nı şu şekilde güncelleştirmelidir sürüm 0.70.0.0 veya daha yüksek. Bu sürüm katı UPN eşleştirmesi uygular ve nonce yeniden kullanım boşluğunu kapatır.

2. Entra ID Koşullu Erişimin Güçlendirilmesi

Aşağıdakileri gerektiren Koşullu Erişim politikalarını uygulayın Kimlik Avına Dayanıklı MFA (FIDO2 anahtarları gibi) tüm yönetici oturumları için. Ayrıca, şunları kullanın Token Koruması (Belirteç Bağlama), belirteçlerin kolayca dışarı çıkarılamamasını ve ikincil cihazlarda kullanılamamasını sağlamak için desteklenir.

3. Yönetim Portları için Ağ İzolasyonu

Bağlantı noktasına erişimi kesin olarak sınırlandırın 6516 (DAK yönetim portu). Yönetilen düğümlerde bu bağlantı noktasıyla yalnızca yetkili yönetici iş istasyonlarının veya belirli Bastion ana bilgisayarlarının iletişim kurabildiğinden emin olun.

4. İzleme ve Tehdit Avcılığı

Güvenlik Operasyon Merkezleri (SOC) token kullanımındaki anormallikleri tespit etmek için avcılık sorguları uygulamalıdır.

• Çoklu UPN'ler için Arama: Şu oturumları arayın Aktör UPN ve Konu Entra ID günlüklerindeki UPN eşleşmiyor.
• Nonce Anomalilerini İzleme: Nonce'ları yeniden kullanan veya ilk ağ geçidi oturum açma ile ilişkili olmayan IP adreslerinden gelen idari API isteklerini işaretleyin.

Sonuç Kimlik Güvenliğinin Geleceği

CVE-2026-20965, verimlilik uğruna yönetimi merkezileştirirken riski de merkezileştirdiğimizi keskin bir şekilde hatırlatmaktadır. "Token Karıştırma" saldırısı, bizi korumak için tasarlanmış protokolleri istismar eden sofistike bir tekniktir. Bu tehditlerin önüne geçmek için güvenlik ekipleri, Penligent gibi bir saldırgan gibi düşünebilen ve kimlik zincirindeki her bağlantıyı doğrulayabilen otomatik, yapay zeka destekli test platformlarına yönelmelidir.

Yetkili Referans Bağlantıları

• CVE-2026-20965 için Microsoft Güvenlik Yanıt Merkezi (MSRC) Danışmanlığı
• Cymulate Research Labs - Token Karıştırma İstismarı Üzerine Teknik Yazı
• NIST Ulusal Güvenlik Açığı Veritabanı (NVD) - CVE-2026-20965 Detay
• Rapid7 2026 Azure Kimlik Doğrulama Kusurları Analizi
• Penligent.ai - Yapay Zeka Destekli Otomatik Sızma Testi Platformu