Netcrook Logo
👤 LOGICFALCON
🗓️ 16 Jan 2026   🌍 North America

Ruse de jeton : comment une seule faille Azure a mis en danger l’ensemble des centres d’administration Windows

Un subtil défaut d’authentification dans l’Azure AD Single Sign-On de Microsoft a exposé les organisations à un compromis généralisé de leur tenant - voici comment les attaquants pouvaient passer d’une machine à toutes les autres.

Tout a commencé par un faux pas dans la danse de l’authentification de Microsoft - une faille si étroite qu’on aurait pu la manquer, mais assez large pour que des attaquants s’y glissent et prennent le contrôle de tout un environnement cloud. Voici l’histoire de CVE-2026-20965, une vulnérabilité critique qui a exposé l’infrastructure même des Windows Admin Centers gérés par Azure, permettant à des adversaires déterminés de transformer une machine compromise en tremplin pour une domination à l’échelle du tenant.

En bref

  • Faille référencée sous : CVE-2026-20965, affectant Azure AD SSO pour Windows Admin Center (WAC)
  • Niveau de risque : Permet à des attaquants disposant de droits d’administrateur local de compromettre toutes les machines gérées par WAC au sein d’un même tenant Azure
  • Cause racine : Windows Admin Center n’appliquait pas la liaison d’identité entre les jetons d’accès et les jetons Proof-of-Possession (PoP)
  • Périmètre : Toutes les machines virtuelles Azure et systèmes connectés via Arc exécutant l’extension WAC Azure en version inférieure à 0.70.00
  • Correctif publié : Microsoft a diffusé un correctif le 14 janvier 2026 ; mise à jour urgente requise

Au cœur de la brèche : comment un jeton a ouvert les vannes

Lorsque les chercheurs en sécurité de Cymulate ont examiné la mise en œuvre de l’Azure AD Single Sign-On (SSO) dans Windows Admin Center, ils ont découvert une faille à la fois subtile et dévastatrice. Le système exigeait deux jetons pour l’authentification : un jeton d’accès (prouvant les droits de l’utilisateur) et un jeton Proof-of-Possession (PoP), lié cryptographiquement à une clé générée par le navigateur. Mais une vérification essentielle manquait : WAC ne s’assurait pas que les deux jetons appartenaient au même utilisateur.

Cette omission offrait aux attaquants une astuce redoutable. S’ils obtenaient des droits d’administrateur local sur une machine virtuelle Azure ou un système connecté via Arc exécutant une version vulnérable de WAC, ils pouvaient récupérer le jeton d’accès d’un utilisateur privilégié lors de sa prochaine connexion à WAC. Ensuite, en forgeant leur propre jeton PoP, ils pouvaient usurper l’identité de cet utilisateur - sans avoir besoin de véritables identifiants Azure.

Une fois à l’intérieur, l’attaquant pouvait élever ses privilèges, exécuter des commandes à distance et se déplacer latéralement sur toutes les machines gérées par WAC auxquelles la victime avait accès. Même les frontières des groupes de ressources et des abonnements Azure - censées servir de pare-feu cloud - s’effondraient, car les jetons forgés permettaient de passer d’un environnement à l’autre. Le risque était amplifié dans les configurations où le port API de WAC était exposé à Internet, facilitant l’accès initial et compliquant la détection.

La discrétion de l’attaque était glaçante : les requêtes pouvaient sembler provenir d’utilisateurs inexistants, et des comptes virtuels suspects (avec des formats UPN caractéristiques) échappaient souvent à la surveillance classique. Pour les défenseurs, cela impliquait non seulement un correctif technique, mais aussi une vigilance renouvelée - surveiller la création inhabituelle de comptes et les connexions anormales sur l’ensemble de leurs tenants Azure.

Le correctif de Microsoft, publié dans l’extension WAC Azure version 0.70.00, a comblé la faille en imposant une validation stricte des jetons, mais cet épisode reste un rappel brutal : dans le cloud, la moindre erreur de validation peut devenir une porte ouverte à un compromis généralisé.

Conclusion : Leçons tirées de l’angle mort du cloud

CVE-2026-20965 met en lumière une vérité difficile pour les défenseurs et les organisations : dans un monde de systèmes cloud interconnectés, l’identité fait tout. Une seule erreur dans la logique d’authentification ne met pas seulement en danger une machine - elle peut faire s’effondrer la sécurité à grande échelle. À mesure que les attaquants deviennent plus habiles à exploiter ces angles morts, corriger rapidement et surveiller attentivement ne sont plus optionnels. Le cloud récompense la rapidité, mais comme l’a prouvé cette faille, il punit aussi l’inattention.

WIKICROOK

  • Jeton d’accès : Un jeton d’accès est une clé numérique temporaire qui vérifie l’identité et accorde un accès sécurisé à des services ou ressources en ligne sans nécessiter de connexions répétées.
  • Proof : Un Proof-of-Concept (PoC) est une démonstration montrant qu’une vulnérabilité de cybersécurité peut être exploitée, permettant d’en valider et d’en évaluer les risques réels.
  • Tenant Azure : Un tenant Azure est un environnement isolé dans Microsoft Azure, gérant les utilisateurs, groupes et ressources pour les opérations cloud d’une organisation.
  • Single Sign-On : Le Single Sign-On (SSO) permet aux utilisateurs d’accéder à plusieurs services avec une seule connexion, simplifiant l’accès mais augmentant le risque en cas de compromission des identifiants.
  • Mouvement latéral : Le mouvement latéral désigne la capacité des attaquants, après avoir pénétré un réseau, à se déplacer latéralement pour accéder à d’autres systèmes ou données sensibles, étendant ainsi leur contrôle et leur portée.
Azure Vulnerability Authentication Flaw Tenant Compromise
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news