Vulnerablidad alta en Azure Windows Admin Center (WAC)
Recientemente, una organización llamada Cymulate Research Labs, descubrió una vulnerabilidad en el sistema de inicio de sesión único (SSO) de Azure Windows Admin Center (WAC), la cual tomó relevancia debido al impacto que puede tener si no se corrige rápidamente, llegando a afectar a máquinas virtuales y sistemas conectados a través de Arc (plataforma de administración).
CVE-2026-20965
Esta vulnerabilidad cuenta con una calificación CVSS3.1 de 7.5, afecta al componente de inicio de sesión único (Azure AD SSO) de Azure Windows Admin Center (WAC) y puede permitir a un atacante con acceso local de administrador en una máquina de Windows ignorar mecanismos críticos de autenticación y autorización, resultando en el acceso indebido a otras máquinas en que se encuentren en el mismo tenant y que también utilicen WAC, incluyendo máquinas virtuales de Azure y máquinas de Azure conectadas a través de Arc (plataforma de administración), sin necesidad de contar con credenciales válidas de Azure.
La falla que ocasiona esta vulnerabilidad se encuentra en el manejo de tokens de Windows Admin Center, ya que utiliza dos tokens: token de verificación de acceso basado en roles y token de prueba de posesión. WAC no verifica que el usuario coincida en ambos tokens, permitiendo a un atacante mezclar tokens de diferentes usuarios (p. ej. un token de usuario privilegiado con el propio del atacante) y escalar privilegios. Lo anterior permite un mejor movimiento lateral, escalación de privilegios, robo de credenciales y evasión de defensas.
Versiones Afectadas
| Productos | Versiones afectadas | Versiones corregidas |
| Windows Admin Center in Azure Portal | Desde la versión 1.0 hasta antes de la versión 0.70.0.0 | Desde la versión 0.70.0.0 a versiones mayores |
Recomendaciones
- Verificar que Windows Admin Center se encuentre actualizado.
- Monitorear inicios de sesión sospechosos y/o múltiples inicios de sesión consecutivos en diferentes cuentas.
- Monitorear tráfico sospechoso en el puerto 6516.
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
- Auditar herramientas de acceso remoto. (NIST CSF, 2024)
- Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad. (NIST CSF, 2024)
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactorial.
Referencias
- Baran, G. (2026, Enero 15). Azure Identity Token Vulnerability Enables Tenant-Wide Compromise in Windows Admin Center. Cyber Security News. Recuperado el 23 de enero de 2026, en: https://cybersecuritynews.com/azure-identity-token-vulnerability/
- Cymulate Research Lab. (2026, Enero 15). CVE-2026-20965: Cymulate Research Labs Discovers Token Validation Flaw that Leads to Tenant-Wide RCE in Azure Windows Admin Center. Cymulate. Recuperado el 23 de enero de 2026, en: https://cymulate.com/blog/cve-2026-20965-azure-windows-admin-center-tenant-wide-rce/
