对很多运维老手来说，Windows Admin Center（WAC，Windows管理中心）早已不是新鲜玩意儿。这款基于浏览器的本地部署管理工具，把Windows服务器、客户端和集群的图形化管控都塞进了同一个界面里，省了不少来回切换的麻烦。但就在最近，Cymulate实验室丢出了一颗重磅炸弹——他们发现的高危漏洞，能让攻击者在几乎零门槛的情况下，对Azure集成版和本地部署版WAC发起未经身份验证的远程代码执行（RCE）。换句话说，受害者只要点错一个链接，整个网络的控制权就可能旁落他人之手。

微软在2025年8月22日接到报告后，已经通过服务端补丁为所有Azure托管实例上了保险。云端用户算是躲过一劫，后台静默修复，无需手动操作。可那些把WAC架在自己机房里的团队，眼下正站在风口浪尖上——不主动升级到最新版本，这个洞就始终敞着。

这个漏洞到底狠在哪里？

从Cymulate披露的技术细节来看，整条攻击链并不是靠某个单一失误撑起来的，而是三处底层架构缺陷被串成了糖葫芦：

第一处是响应型跨站脚本（XSS）。WAC在处理Azure门户流程和本地错误页面时，对返回内容的过滤做得相当敷衍，攻击者能把任意JavaScript代码塞进去。第二处更致命——不安全的重定向处理。WAC在接收网关URL时几乎不做校验，外部控制的恶意地址被当成合法流量直接放行，合法应用流瞬间变成钓鱼通道。第三处则是本地部署环境下的凭证存储问题：敏感的Azure访问令牌和刷新令牌被直接丢进了浏览器本地存储（LocalStorage），一旦XSS触发，这些令牌就像放在没上锁的抽屉里，攻击者伸手就能拿走。

三种部署形态，三种受伤姿势

如果你以为"我用了Azure托管版就高枕无忧"，那得看攻击者怎么玩。在Azure环境里，攻击者可以精心构造一个带着恶意载荷的仿冒URL，配合伪造的基础认证或NTLM认证页面，诱导管理员交出凭证。本地部署环境则更凶险——攻击者能直接劫持网关，在托管服务器上执行任意PowerShell命令。至于那些连接了本地网关的混合场景，浏览器里躺着的Azure令牌一旦被XSS脚本拖走，攻击者拿到的可就是受害者完整的云环境权限，相当于大门钥匙和密码箱钥匙一起丢了。

攻击链路拆解：从钓鱼链接到系统沦陷

Cymulate的研究人员把整个攻击流程跑通后，发现所需的交互量少得惊人。攻击者先要注册一个看起来正经的域名，配上可信的SSL证书，然后伪造一个WAC网关URL。这个链接通过钓鱼邮件或者网页重定向散播出去，受害者一旦点击，WAC应用就会把流量乖乖送到攻击者控制的服务器上。服务器返回的并非正常页面，而是一条精心构造的错误消息，里面嵌着隐藏脚本。要命的是，WAC在渲染这条"错误消息"时完全没有做净化处理，恶意代码直接在拥有高权限的浏览器环境里执行——窃取令牌、执行命令、横向移动，一气呵成。

整个链条里，最让笔者感到后背发凉的不是某个具体的代码缺陷，而是"信任链"的崩塌。WAC作为一个管理工具，本应对进出流量保持高度警觉，却在URL校验和响应净化这两个基本功上栽了跟头。这也给所有开发同类产品的团队提了个醒：客户端输入要验，服务器响应更要验，两头漏风，中间再厚的墙也没用。

眼下该做什么？

Azure版WAC的用户可以松口气，微软已经在服务端完成了兜底。但跑本地版本的朋友们，千万别再拖了。Cymulate给出的建议很直白：立刻升级到微软发布的最新补丁版本，然后花点时间扫一遍网络，看看有没有漏网之鱼——那些藏在角落里的旧实例，往往才是攻击者最喜欢的突破口。

这个漏洞再次印证了一个老道理：管理工具一旦成为攻击入口，破坏力远超普通应用漏洞。因为它手里握着的，是整个基础设施的生杀大权。