文章总结： Cymulate实验室发现AzureWindows管理中心存在严重远程代码执行漏洞，攻击者通过构造恶意URL可诱骗受害者点击，利用跨站脚本、不安全重定向和凭据存储缺陷实现未授权命令执行。微软已于2025年8月完成服务端修复，云用户无需操作，但本地部署需立即升级至最新版本以防范风险。 综合评分： 94 文章分类： 漏洞分析,web安全,云安全,应用安全,网络安全

Azure Windows 管理中心的一键式远程代码执行漏洞允许攻击者执行任意命令

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年4月17日 19:06 北京

在小说阅读器读本章

去阅读

Windows Admin Center 是一款本地部署的基于浏览器的管理工具，IT 管理员可以使用它通过集中式图形界面管理 Windows 服务器、客户端和集群。

Cymulate 研究实验室发现的这一新发现的严重漏洞，允许攻击者在 Azure 集成和本地 WAC 部署中实现未经身份验证的一键式远程代码执行 (RCE)。

攻击者只需诱骗受害者访问篡改过的网址，即可秘密执行任意命令并接管目标网络。

这些漏洞已于 2025 年 8 月 22 日负责任地披露给微软。报告发布后，微软成功地应用了服务器端补丁来保护所有 Azure 管理的实例。

由于此修复是在服务端实施的，因此云客户无需任何手动操作即可自动受到保护。

但是，使用本地 WAC 部署的组织必须主动将其系统更新到最新版本，以修复漏洞并防止漏洞被利用。

导致此次攻击的核心漏洞

根据 Cymulate Research Labs 发布的技术报告，该攻击链依赖于三个底层架构缺陷，攻击者将这些缺陷结合起来以达到最大影响：

• 基于响应的跨站脚本攻击 (XSS) 允许攻击者将任意 JavaScript 代码注入到 Azure 门户流程和本地错误处理机制中。
• 不安全的重定向处理导致 WAC 接受外部控制的网关 URL 而没有进行适当的验证，从而使威胁行为者能够劫持合法的应用程序流进行欺骗和网络钓鱼攻击。
• 本地部署环境中不安全的凭据存储会将敏感的 Azure 访问令牌和刷新令牌直接保存在浏览器的本地存储中，使其容易受到 XSS 漏洞的直接窃取。

该研究强调了不同的攻击路径和后果，具体取决于Windows 管理中心环境的部署方式。

• Azure 托管环境允许攻击者构造看似真实的 URL，其中包含恶意有效载荷，从而引发虚假的基本身份验证或 NTLM 身份验证，悄无声息地从受信任的 Microsoft 来源窃取用户凭据。
• 本地部署会带来更高的安全隐患，因为威胁行为者可以强制网关在托管服务器上执行任意 PowerShell 命令。
• 连接的本地网关会暴露存储的 Azure 令牌，从而促进横向移动，使攻击者能够获得受害者的完整云权限和租户控制权。

漏洞利用链的实际应用

Cymulate 的研究人员证明，整个攻击链只需要极少的用户交互。

攻击者需要注册一个有效的域名，获取一个可信的Web证书，并伪造一个WAC网关URL。然后，这个恶意链接可以通过钓鱼邮件、伪装链接或自动Web重定向进行传播。

一旦毫无戒心的受害者点击链接，WAC应用程序就会自动将流量重定向到攻击者控制的服务器。随后，恶意服务器会返回一条精心构造的错误消息，其中包含隐藏的脚本。

由于应用程序未能正确清理传入的响应，恶意代码直接在具有高度特权的 WAC 浏览器环境中执行。

此次漏洞利用清楚地表明，开发人员必须严格验证客户端输入和服务器响应，以防止复杂的攻击。虽然 Azure 托管的 WAC 客户已经受到保护，但内部网络的安全风险仍然十分严峻。

Cymulate Research Labs 强烈建议所有管理本地 Windows Admin Center 部署的安全团队立即升级到最新的、已打补丁的 Microsoft 版本。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《Azure Windows 管理中心的一键式远程代码执行漏洞允许攻击者执行任意命令》