Một lỗ hổng CVE-2026-20965 nghiêm trọng trong triển khai Azure Single Sign-On (SSO) của Windows Admin Center đã phơi bày các máy ảo Azure và hệ thống kết nối Arc trước nguy cơ truy cập trái phép trên toàn bộ các tenant. Lỗ hổng này, được theo dõi là CVE-2026-20965, minh họa cách thức xác thực token không đúng cách có thể phá vỡ các ranh giới bảo mật giữa các máy riêng lẻ và toàn bộ môi trường Azure.

Phân tích Lỗ hổng CVE-2026-20965 và Chi tiết Kỹ thuật

Lỗ hổng bảo mật này, với mã định danh CVE-2026-20965, được phòng nghiên cứu Cymulate Research Labs phát hiện. Nó cho thấy một điểm yếu cốt lõi trong cơ chế xác thực token của Windows Admin Center (WAC) khi tương tác với Azure SSO. Cymulate đã tiết lộ thông tin này vào tháng 8 năm 2025, và Microsoft đã phát hành bản vá vào ngày 13 tháng 1 năm 2026, thông qua Windows Admin Center Azure Extension phiên bản v0.70.00.

Tất cả các triển khai chưa được vá với phiên bản cũ hơn v0.70.00 đều vẫn nằm trong tầm ngắm của cuộc tấn công. Đây là một điểm cực kỳ quan trọng đối với các nhà quản trị hệ thống và chuyên gia bảo mật Azure.

Các Điểm Yếu Cụ thể trong Cơ chế Token

Windows Admin Center sử dụng hai loại token chính cho mục đích xác thực:

• WAC.CheckAccess: Token này chịu trách nhiệm xác minh quyền truy cập dựa trên vai trò thông qua User Principal Name (UPN).
• PoP-bound token: Là một cặp khóa được tạo bởi trình duyệt, được thiết kế để ngăn chặn các cuộc tấn công phát lại (replay attacks).

Các chuyên gia của Cymulate đã phát hiện ra nhiều sai sót trong quá trình xử lý các token này, bao gồm:

• Không có sự khớp UPN giữa hai loại token, cho phép kẻ tấn công giả mạo danh tính.
• Chấp nhận các PoP-bound token từ các tenant khác, phá vỡ ranh giới giữa các môi trường Azure.
• Sử dụng các URL không phải gateway trong PoP token, ví dụ, truy cập trực tiếp bằng địa chỉ IP qua cổng 6516 thay vì qua DNS gateway.
• Tái sử dụng các nonce (số ngẫu nhiên chỉ dùng một lần), làm suy yếu tính bảo mật của các phiên.
• Quyền truy cập do WAC.CheckAccess cấp không bị giới hạn (unscoped), dẫn đến việc cấp quyền truy cập trên toàn bộ tenant thay vì chỉ trong phạm vi cụ thể.

Những lỗ hổng này đã tạo ra một kịch bản nguy hiểm, nơi sự tin cậy bị phá vỡ hoàn toàn, cho phép kẻ tấn công thực hiện các hành vi trái phép trên quy mô lớn.

Cơ chế Khai thác và Điều kiện Tiên quyết

Việc khai thác lỗ hổng CVE-2026-20965 đòi hỏi kẻ tấn công phải có quyền quản trị cục bộ (local admin) trên một máy ảo Azure hoặc một máy Arc đã bật Windows Admin Center. Ngoài ra, cần có một người dùng có đặc quyền kết nối thông qua Azure Portal để khởi tạo quá trình.

Một điểm yếu đáng chú ý là quyền truy cập Just-in-Time (JIT) đã phơi bày cổng 6516 ra tất cả các địa chỉ IP, thay vì chỉ giới hạn trong DNS gateway. Điều này cho phép kẻ tấn công thực hiện giả mạo trực tiếp mà không cần khám phá DNS, làm sụp đổ sự cô lập giữa các máy ảo. Kẻ tấn công có thể giả mạo danh tính của quản trị viên trên các nhóm tài nguyên khác nhau, tạo điều kiện cho các cuộc tấn công leo thang đặc quyền.

Hiện tại, chưa có báo cáo nào về việc khai thác rộng rãi (wild exploitation) của lỗ hổng CVE-2026-20965. Tuy nhiên, Cymulate khuyến nghị cần tiến hành phát hiện hồi cứu (retrospective detection) để đảm bảo không có sự xâm nhập nào đã xảy ra trước khi bản vá được triển khai.

Thông tin chi tiết hơn về cách khai thác và các tác động của lỗ hổng này có thể tham khảo từ báo cáo của Cymulate.

Tác động và Rủi ro Hệ thống của Lỗ hổng CVE-2026-20965

Tác động của lỗ hổng CVE-2026-20965 là vô cùng nghiêm trọng, với khả năng cho phép kẻ tấn công:

• Di chuyển ngang (Lateral Movement): Kẻ tấn công có thể di chuyển giữa các hệ thống trong cùng một mạng.
• Leo thang đặc quyền (Privilege Escalation): Nâng cao quyền hạn từ người dùng thông thường lên quyền quản trị viên hoặc các đặc quyền cao hơn.
• Đánh cắp thông tin đăng nhập (Credential Theft): Lấy cắp tên người dùng và mật khẩu, mở rộng phạm vi tấn công.
• Thỏa hiệp đa subscription (Cross-Subscription Compromise): Vượt qua ranh giới của một subscription Azure để truy cập các tài nguyên trong subscription khác.
• Né tránh phát hiện (Evasion): Thực hiện các hành vi độc hại bằng cách sử dụng UPN giả mạo, gây khó khăn cho việc phát hiện và ứng phó.

Khả năng chiếm quyền điều khiển trên toàn bộ tenant Azure mà lỗ hổng này mang lại đặt ra một nguy cơ cực kỳ lớn đối với các tổ chức. Điều này không chỉ ảnh hưởng đến tính toàn vẹn của dữ liệu mà còn đe dọa đến hoạt động kinh doanh liên tục và tuân thủ quy định.

Đây là một ví dụ điển hình về cách các kẽ hở xác thực tưởng chừng nhỏ có thể dẫn đến sự sụp đổ của các rào cản bảo mật, cho phép kẻ tấn công thực hiện chuyển đổi từ truy cập cục bộ lên đám mây (local-to-cloud pivots) và bỏ qua các cơ chế phân đoạn mạng.

Phát hiện và Giám sát Các Dấu hiệu Xâm nhập

Để phát hiện các hoạt động đáng ngờ liên quan đến lỗ hổng CVE-2026-20965, các tổ chức nên tập trung vào việc giám sát các dấu hiệu sau:

• Giám sát tài khoản ảo WAC: Cảnh giác với các tài khoản ảo Windows Admin Center bất thường, chẳng hạn như [email protected], vì đây có thể là dấu hiệu của việc lạm dụng.
• Phát hiện hoạt động WAC bất thường: Giám sát các hoạt động Windows Admin Center có tính chất bất thường, ví dụ như các danh tính mới xuất hiện trên các máy mục tiêu hoặc những người dùng không xác định thực hiện truy cập.
• Theo dõi Spike trong InvokeCommand: Chú ý đến sự gia tăng đột biến trong việc sử dụng lệnh InvokeCommand trong các ngữ cảnh đáng tin cậy, điều này có thể chỉ ra một cuộc tấn công đang diễn ra hoặc đã xảy ra.

Mặc dù văn bản gốc đề cập đến “KQL Query for Suspicious Logons”, nhưng không cung cấp cú pháp cụ thể. Tuy nhiên, các nhà quản trị nên chủ động tạo các truy vấn KQL (Kusto Query Language) trong Azure Monitor hoặc Azure Sentinel để phát hiện các mẫu đăng nhập bất thường hoặc các hoạt động WAC đáng ngờ dựa trên các tiêu chí đã nêu. Ví dụ, tìm kiếm các sự kiện liên quan đến WindowsAdminCenter, logon, Invoke-Command và lọc theo địa chỉ IP nguồn, tài khoản đích, hoặc thời gian.

Biện pháp Khắc phục và Tăng cường An toàn Thông tin

Để bảo vệ hệ thống khỏi lỗ hổng CVE-2026-20965 và các rủi ro tương tự, các tổ chức cần thực hiện ngay lập tức các biện pháp sau:

Cập nhật và Vá lỗi

Biện pháp quan trọng nhất là cập nhật Windows Admin Center Azure Extension lên phiên bản v0.70.00 hoặc mới hơn ngay lập tức. Việc này sẽ áp dụng bản vá do Microsoft cung cấp, giải quyết trực tiếp các điểm yếu trong cơ chế xác thực token.

Các bản vá bảo mật là yếu tố then chốt để duy trì an toàn thông tin cho hệ thống. Thông tin chi tiết về CVE-2026-20965 có thể được tìm thấy tại National Vulnerability Database (NVD).

Tăng cường Cấu hình Mạng và Truy cập

• Cải thiện Cấu hình NSG/JIT: Nâng cao cấu hình Network Security Group (NSG) và Just-in-Time (JIT) access để chỉ cho phép truy cập cổng 6516 qua gateway đã xác định, thay vì mở ra cho tất cả các địa chỉ IP. Điều này sẽ hạn chế đáng kể khả năng kẻ tấn công giả mạo trực tiếp.
• Giám sát Nhật ký WAC: Liên tục giám sát nhật ký của Windows Admin Center để phát hiện bất kỳ hoạt động bất thường hoặc đáng ngờ nào. Việc giám sát chủ động giúp nhanh chóng phát hiện các dấu hiệu xâm nhập và phản ứng kịp thời.

Lời khuyên Bảo mật Tổng thể

Lỗ hổng CVE-2026-20965 một lần nữa nhấn mạnh tầm quan trọng của việc xác thực mạnh mẽ và kiểm soát truy cập chặt chẽ trong môi trường đám mây. Các tổ chức nên ưu tiên:

• Thực hiện các bản vá bảo mật một cách thường xuyên và kịp thời.
• Tiến hành kiểm tra thâm nhập (penetration testing) và thử nghiệm mô phỏng tấn công (simulation testing) định kỳ để xác định và khắc phục các điểm yếu tiềm ẩn.
• Đào tạo nhân viên về các mối đe dọa bảo mật và thực hành an toàn thông tin tốt nhất.

Việc đầu tư vào các chiến lược bảo mật Azure toàn diện là rất cần thiết để bảo vệ dữ liệu và hạ tầng khỏi các mối đe dọa ngày càng phức tạp.