Des failles dans Windows Admin Center permettent des attaques croisées entre cloud Azure et on-prem

🔍 Contexte

Publié le 23 avril 2026 par The Register, cet article couvre une présentation donnée à la conférence Black Hat Asia à Singapour par Ilan Kalendarov et Ben Zamir de la société de sécurité Cymulate. Leur talk, intitulé “Breaking Hybrid Boundaries Across Azure and Windows”, porte sur des vulnérabilités découvertes dans Microsoft Windows Admin Center (WAC).

🛡️ Vulnérabilités identifiées

Quatre CVEs ont été découvertes et signalées à Microsoft, qui a depuis publié des correctifs :

• CVE-2025-64669
• CVE-2026-20965
• CVE-2026-23660
• CVE-2026-32196

Le score CVSS le plus élevé parmi ces vulnérabilités est 7.8. Aucun signe d’exploitation active n’a été détecté.

⚙️ Détails techniques

Les failles affectent les deux versions de WAC (cloud Azure et on-prem) :

• Le répertoire d’installation de la version on-prem n’était pas protégé en écriture, permettant à un attaquant d’y déposer des fichiers malveillants.
• Les deux versions utilisent un check-access token et un proof of possession (POP) token pour identifier les ressources gérées, mais les VMs ne valident pas tous les champs du POP token.
• Le POP token peut être réutilisé ou forgé, permettant à un attaquant de prendre le contrôle d’une VM de tenant gérée sous WAC.
• Les ressources gérées par Microsoft Arc sont également exposées.

🌐 Impact sur les environnements hybrides

L’enjeu principal souligné par les chercheurs est la bidirectionnalité de la surface d’attaque : un attaquant peut utiliser WAC on-prem pour attaquer Azure, et inversement utiliser WAC cloud pour attaquer des ressources on-prem. Le plan de gestion hybride est présenté comme une surface d’attaque insuffisamment surveillée.

📰 Nature de l’article

Il s’agit d’un article de presse spécialisée relayant une publication de recherche présentée en conférence, avec divulgation responsable et correctifs disponibles. Le but principal est d’alerter les organisations utilisant des infrastructures hybrides sur les risques liés aux outils de gestion hybride.

🧠 TTPs et IOCs détectés

TTP

• T1574 — Hijack Execution Flow (Persistence)
• T1550 — Use Alternate Authentication Material (Lateral Movement)
• T1078 — Valid Accounts (Defense Evasion)
• T1210 — Exploitation of Remote Services (Lateral Movement)

IOC

• CVEs : CVE-2025-64669 — NVD · CIRCL
• CVEs : CVE-2026-20965 — NVD · CIRCL
• CVEs : CVE-2026-23660 — NVD · CIRCL
• CVEs : CVE-2026-32196 — NVD · CIRCL

🟡 Indice de vérification factuelle : 50/100 (moyenne)

• ⬜ theregister.com — source non référencée (0pts)
• ✅ 3750 chars — texte complet (fulltext extrait) (15pts)
• ✅ 4 IOCs (IPs/domaines/CVEs) (10pts)
• ⬜ pas d’IOC vérifié (0pts)
• ✅ 4 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ 0/4 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.theregister.com/2026/04/23/wac_flaws_hybrid_cloud_security/