Điện toán lai có hai bề mặt tấn công mà bạn đang bỏ quên

Các nhà nghiên cứu bảo mật vừa phát hiện một loạt lỗ hổng trong Windows Admin Center (WAC) của Microsoft, cho thấy các công cụ quản lý điện toán lai có thể trở thành bề mặt tấn công hai chiều mà người dùng thường không chú ý.

Tại hội nghị Black Hat Asia diễn ra ở Singapore hôm nay, Ilan Kalendarov và Ben Zamir từ công ty bảo mật Cymulate đã trình bày về những lỗ hổng nghiêm trọng này trong bài nói chuyện có tên "Breaking Hybrid Boundaries Across Azure and Windows".

Các lỗ hổng trong Windows Admin Center

Đội ngũ nghiên cứu đã tiết lộ bốn lỗ hổng (được gán mã CVE-2025-64669, CVE-2026-20965, CVE-2026-23660 và CVE-2026-32196), tất cả đều liên quan đến Windows Admin Center (WAC). Microsoft cung cấp hai phiên bản WAC: một phiên bản được lưu trữ trên đám mây Azure và một phiên bản cài đặt tại cơ sở (on-premises).

Theo Kalendarov và Zamir, thư mục chứa phiên bản on-premises của WAC không được bảo vệ chống ghi. Điều này có nghĩa là một kẻ tấn công có thể thả các loại mã độc (malware) vào ngay bên cạnh WAC để thực hiện các hành động độc hại.

Ngoài ra, cả hai phiên bản WAC đều dựa vào một token kiểm tra quyền truy cập và một token bằng chứng sở hữu (Proof of Possession - POP) để xác định các tài nguyên mà chúng quản lý. Tuy nhiên, các máy ảo (VM) không xác thực tất cả các trường trong token POP. Các nhà nghiên cứu phát hiện rằng token POP này có thể được tái sử dụng hoặc giả mạo, cho phép kẻ tấn công chiếm quyền kiểm soát máy ảo của khách hàng được quản lý bởi WAC. Các tài nguyên được quản lý bởi Microsoft Arc cũng chịu rủi ro tương tự.

Rủi ro hai chiều của điện toán lai

Hiện tại, chưa có dấu hiệu cho thấy bất kỳ lỗ hổng nào trong số này đang bị khai thác tích cực. Lỗ hổng nghiêm trọng nhất trong số này được đánh giá điểm CVSS là 7.8. Cymulate đã công bố kết quả một cách có trách nhiệm và Microsoft đã phát hành các bản vá lỗi, nên đây không phải là những lỗ hổng gây hoảng mang ngay lập tức.

Tuy nhiên, Kalendarov và Zamir cho rằng những phát hiện này đáng lo ngại đối với các tổ chức sử dụng điện toán lai. Các lỗ hổng được phát hiện có nghĩa là kẻ tấn công có thể sử dụng WAC tại chỗ để tấn công vào Azure, và sử dụng WAC trên đám mây để tấn công vào các tài nguyên tại chỗ.

"Mặt bằng quản lý điện toán lai của bạn là một bề mặt tấn công mà bạn chưa giám sát đủ kỹ," Kalendarov nói. "Bạn phải nhìn nhận cả đám mây và hệ thống tại chỗ. Hãy coi tất cả các hệ thống là Tier Zero."

Các nhà nghiên cứu cũng khuyến cáo người dùng nên kiểm tra kỹ các danh tính được thiết lập để vận hành tài nguyên đám mây có đang truy cập vào hệ thống tại chỗ và ngược lại hay không.

Khi được hỏi liệu họ đã xem xét các công cụ quản lý điện toán lai phổ biến khác như của Nutanix và VMware hay chưa, cặp đôi này cho biết họ chọn nghiên cứu WAC do số lượng người dùng lớn của nó, nhưng bày tỏ sự quan tâm đến việc điều tra các công cụ điện toán lai khác trong tương lai.