【安全资讯】以色列研究人员发现微软Windows管理中心存在多个漏洞，混合云管理工具成双向攻击面

概要：

在Black Hat Asia大会上，以色列Cymulate公司的研究人员Ilan Kalendarov和Ben Zamir披露了微软Windows Admin Center（WAC）中的四个安全漏洞（CVE-2025-64669、CVE-2026-20965、CVE-2026-23660和CVE-2026-32196）。这些漏洞表明，混合云管理工具构成了一个双向攻击面，但用户对此并未给予足够关注。攻击者可能利用本地WAC攻击Azure云资源，或通过云端WAC攻击本地系统，威胁企业混合云环境的安全。

主要内容：

研究人员发现，微软WAC的本地版本目录未进行写保护，攻击者可在该目录中植入恶意软件。此外，WAC依赖的检查访问令牌和证明令牌（POP）存在验证缺陷，虚拟机未验证POP令牌中的所有字段，导致令牌可被重用或伪造，攻击者借此可接管由WAC管理的租户虚拟机。微软Arc管理的资源同样面临风险。

这些漏洞中，最严重的CVSS评分为7.8，目前尚无证据表明已被积极利用。Cymulate已向微软负责任地披露了漏洞，微软也已发布补丁。然而，研究人员强调，混合云管理平面是一个用户监控不足的攻击面，必须同时关注云端和本地系统，将所有系统视为零信任层级。

该事件的影响在于，它揭示了混合云管理工具的双重风险：攻击者可通过本地WAC渗透至Azure云，或通过云端WAC反向攻击本地资源。企业需警惕用于操作云资源的身份凭证被滥用于访问本地系统，反之亦然。这提醒组织在部署混合云时，必须强化对管理平面的安全监控和访问控制。