混合云存在双重攻击面，但企业的安全防护力度远远不够

Black Hat Asia 以色列研究人员在微软Windows管理中心（WAC）中发现了一系列安全漏洞，并指出这一现象表明混合云管理工具本身就是一个双向攻击面，而用户对此的重视程度严重不足。

在今日于新加坡举行的Black Hat Asia大会上，Cymulate公司的Ilan Kalendarov与Ben Zamir发表了题为"突破Azure与Windows之间的混合边界"的演讲。他们详细介绍了向微软报告的四个CVE漏洞，编号分别为2025-64669、2026-20965、2026-23660和2026-32196。目前，微软已针对上述漏洞发布了修复补丁。

以上四个漏洞均与WAC相关。

微软提供两个版本的WAC——一个托管于Azure的云端版本，以及一个本地部署版本。根据Kalendarov与Zamir的研究，本地部署版本所在的目录未设置写入保护，这意味着攻击者可以在WAC目录中植入各类恶意软件。

两个版本的WAC均依赖访问检查Token和持有证明（POP）Token来识别所管理的资源，但虚拟机并不会对POP Token中的所有字段进行验证。研究人员还发现，POP Token可被重复使用或伪造，从而使攻击者得以接管由WAC管理的租户虚拟机。此外，由Microsoft Arc管理的资源同样面临安全风险。

目前尚无迹象表明上述CVE漏洞已遭到在野利用，其中最严重的漏洞CVSS评分为7.8。Cymulate已按照负责任披露原则上报了相关发现，微软也已发布补丁，因此这些漏洞并不构成严重威胁。

然而，Kalendarov与Zamir认为，他们的研究发现足以令运行混合云的企业感到警惕——因为所发现的漏洞意味着攻击者可以利用本地部署的WAC攻击Azure，也可以利用云端WAC攻击本地资源。

两位研究人员在演讲开场时引用了一个经典表情包：画面中一只狗坐在熊熊燃烧的房间里，对眼前的险境泰然处之，无动于衷。

研究人员认为，混合云的安全态势同样如此危机四伏，而用户却对此警觉性不足。

"你的混合管理平面是一个你没有充分监控的攻击面，"Kalendarov表示，"你必须同时审视云端与本地环境，将所有系统视为零级资产（Tier Zero）。"

对于如何防范Cymulate所发现的CVE漏洞所带来的攻击风险，建议重点关注那些原本用于操作云端资源的身份凭据是否出现了访问本地系统的行为，反之亦然。

《The Register》询问两位研究人员是否有计划对其他主流混合云管理工具展开研究，例如Nutanix和VMware的相关产品。他们表示，选择研究WAC是因为其用户基数庞大，同时也表达了对探查其他混合云工具安全性的浓厚兴趣。

Q&A

Q1：Windows管理中心（WAC）被发现了哪些安全漏洞？

A：研究人员在WAC中共发现四个CVE漏洞（编号：2025-64669、2026-20965、2026-23660、2026-32196）。主要问题包括：本地部署版WAC所在目录缺乏写保护，攻击者可植入恶意软件；POP Token验证机制存在缺陷，可被重复使用或伪造，导致攻击者接管由WAC管理的租户虚拟机。目前微软已发布补丁修复上述漏洞。

Q2：混合云的双向攻击面具体是指什么？

A：双向攻击面是指攻击者既可以利用本地部署的WAC发起对Azure云端资源的攻击，也可以通过云端WAC反向攻击企业本地部署的资源。这意味着混合云环境中，云端与本地之间的管理通道本身就可能成为攻击路径，两个方向都存在安全风险。

Q3：企业应该如何防范混合云管理平面的安全威胁？

A：研究人员建议企业将混合管理平面视为需要重点监控的攻击面，同时关注云端和本地环境的安全状况，并将所有相关系统纳入"零级资产"级别进行管理。具体措施上，应重点排查云端资源操作身份凭据是否异常访问了本地系统，以及本地凭据是否出现了访问云端的异常行为。