Black Hat Asia Израильские исследователи обнаружили ряд уязвимостей в Windows Admin Center (WAC) от Microsoft и полагают, что это демонстрирует, что инструменты гибридного облачного управления являются двусторонней поверхностью атаки, о которой пользователи недостаточно беспокоятся.
Выступая сегодня на конференции Black Hat Asia в Сингапуре, Илан Календаров и Бен Замир из Cymulate представили доклад под названием “Breaking Hybrid Boundaries Across Azure and Windows” (“Нарушение гибридных границ между Azure и Windows”), в котором подробно описали четыре обнаруженных ими и переданных Microsoft CVE – 2025-64669, 2026-20965, 2026-23660 и 2026-32196 – которые с тех пор были устранены.
Все они относятся к WAC.
Microsoft предлагает две версии WAC – облачную, размещенную в Azure, и локальную (on-prem). По словам Календарова и Замира, каталог, в котором находится последняя, не был защищен от записи, поэтому злоумышленник мог внедрить всевозможные вредоносные программы рядом с WAC.
Обе версии WAC также полагаются на токен проверки доступа (check-access token) и токен подтверждения владения (proof of possession, POP) для идентификации управляемых ими ресурсов, однако виртуальные машины не проверяют все поля в токене POP. Исследователи также обнаружили, что токен POP может быть повторно использован или подделан, что позволяет злоумышленникам захватить управление виртуальной машиной арендатора, управляемой через WAC. Ресурсы, управляемые Microsoft Arc, также находятся под угрозой.
Нет никаких признаков того, что какие-либо из обнаруженных исследователями CVE активно эксплуатируются; самая серьезная из них получила оценку 7.8 по шкале CVSS. Cymulate ответственно раскрыла свои находки, и Microsoft выпустила исправления, так что это не пугающие уязвимости.
Однако Календаров и Замир считают, что их находки должны беспокоить организации, использующие гибридные облака, поскольку обнаруженные ими уязвимости позволяют злоумышленнику использовать локальный WAC для атаки на Azure, а облачный WAC – для атаки на локальные ресурсы.
Пара начала свой доклад с мема “This is fine”, на котором собака игнорирует явно угрожающий пожар.
Исследователи предположили, что гибридные облака тоже могут полыхать, и пользователи недостаточно обеспокоены этим.
“Ваша плоскость гибридного управления — это поверхность атаки, за которой вы недостаточно следите”, — сказал Календаров. “Вы должны смотреть и на облако, и на локальные системы. Относитесь ко всем системам как к нулевому уровню (tier zero)”.
И если вас беспокоят атаки, ставшие возможными благодаря CVE, обнаруженным Cymulate, обратите внимание на учетные записи, которые вы настраиваете для работы облачных ресурсов, получающих доступ к локальным системам, и наоборот.
The Register спросил дуэт, изучали ли они другие распространенные инструменты гибридного облачного управления, например, от Nutanix и VMware. Они сообщили, что исследовали WAC из-за его большой пользовательской базы, но выразили заинтересованность в изучении других инструментов гибридного облака. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Simon Sharwood
