-
09/04/2020
-
123
-
1.508 bài viết
Windows Admin Center dính lỗi nặng, nguy cơ mất quyền kiểm soát cả Azure
Một lỗ hổng vừa được phát hiện trong Windows Admin Center (WAC), là công cụ quản trị trung tâm của Microsoft dành cho máy chủ, máy ảo và hệ thống hybrid. Lỗi này không chỉ ảnh hưởng đến một máy đơn lẻ mà có thể làm sụp đổ ranh giới bảo mật giữa các máy và toàn bộ tenant Azure, mở đường cho tấn công lan rộng trong môi trường cloud.
Lỗ hổng mang mã CVE-2026-20965, tồn tại trong cơ chế Azure Single Sign-On (SSO) của Windows Admin Center, cụ thể là Azure Extension của WAC. Vấn đề được nhóm nghiên cứu Cymulate Research Labs phát hiện và báo cáo cho Microsoft từ tháng 8/2025. Microsoft đã phát hành bản vá trong Windows Admin Center Azure Extension phiên bản 0.70.00, tung ra ngày 13/1/2026.
Tất cả các hệ thống chạy phiên bản thấp hơn 0.70.00 đều bị ảnh hưởng. Hiện chưa có điểm CVSS chính thức, nhưng Microsoft và Cymulate đều xếp lỗi ở mức High.
Nguyên nhân gốc rễ: Xác thực token sai cách
Windows Admin Center sử dụng hai loại token để xác thực người dùng khi quản trị máy qua Azure Portal. Một token dùng để kiểm tra quyền truy cập theo danh tính người dùng (UPN), token còn lại là token ràng buộc trình duyệt nhằm chống phát lại (PoP – Proof of Possession).
Lỗi nằm ở chỗ hệ thống không kiểm tra chặt chẽ mối liên hệ giữa hai token này. Cụ thể, WAC:
Lỗi nằm ở chỗ hệ thống không kiểm tra chặt chẽ mối liên hệ giữa hai token này. Cụ thể, WAC:
- Không đối chiếu UPN giữa hai token
- Chấp nhận token PoP từ tenant khác
- Cho phép token PoP dùng địa chỉ IP trực tiếp thay vì gateway chính thức
- Tái sử dụng nonce
- Token kiểm tra quyền lại không bị giới hạn phạm vi, có thể áp dụng cho cả tenant
Những “khe hở” này cộng lại khiến cơ chế xác thực tưởng chừng chặt chẽ bị vô hiệu hóa.
Kẻ tấn công khai thác lỗ hổng như thế nào?
Để khai thác, kẻ tấn công cần có quyền admin cục bộ trên một máy ảo Azure hoặc hệ thống Arc đã bật WAC và chờ một người dùng có quyền cao truy cập máy đó qua Azure Portal. Từ đây, kẻ tấn công có thể:
- Chiếm token xác thực hợp lệ của quản trị viên
- Giả mạo token PoP từ tenant của chính mình
- Trộn hai token này lại để gửi lệnh quản trị đến bất kỳ máy nào khác trong phạm vi Azure mà WAC có thể truy cập
Kết quả là tấn công ngang từ một máy sang nhiều máy khác, thậm chí vượt qua ranh giới resource group hoặc subscription.
Rủi ro và hậu quả nếu bị khai thác
Nếu lỗ hổng bị khai thác thành công, hậu quả có thể rất nghiêm trọng:
- Chiếm quyền quản trị nhiều máy ảo
- Leo thang đặc quyền trong tenant Azure
- Đánh cắp thông tin đăng nhập, chứng chỉ
- Thực thi lệnh từ xa trên diện rộng
- Phá vỡ hoàn toàn mô hình phân tách bảo mật giữa các hệ thống
Đáng lo ngại là mọi thứ diễn ra dưới danh nghĩa người dùng hợp lệ, khiến việc phát hiện rất khó.
Phạm vi ảnh hưởng và tình trạng khai thác
Theo Microsoft thì chưa có dấu hiệu khai thác ngoài thực tế, nhưng các chuyên gia cảnh báo cần rà soát ngược vì hành vi tấn công có thể đã bị bỏ sót trong log. Các hệ thống có bật JIT (Just-In-Time) access nhưng để mở cổng 6516 cho toàn bộ Internet càng làm nguy cơ tăng cao.
Phòng tránh và khuyến nghị
Các chuyên gia an ninh mạng khuyến cáo:
- Cập nhật ngay Windows Admin Center Azure Extension lên v0.70.00
- Rà soát các máy có cổng 6516 đang mở
- Giới hạn JIT chỉ cho gateway chính thức, không cho IP bất kỳ
- Theo dõi log đăng nhập với các tài khoản WAC có UPN lạ
- Kiểm tra bất thường trong hoạt động InvokeCommand trên WAC
Việc giám sát chủ động và giả lập tấn công cũng được khuyến nghị để phát hiện sớm dấu hiệu bị xâm nhập. Vá lỗi là bước bắt buộc, nhưng bài học lớn hơn nằm ở việc thiết kế xác thực phải luôn giả định kẻ tấn công đã ở bên trong. Với môi trường hybrid và cloud ngày nay, chỉ cần một mắt xích yếu, cả chuỗi hệ thống có thể bị kéo sập.
WhiteHat