CVE-2026-40381

IMMEDIATE ACTIONS:

1. Inventory all Azure Connected Machine Agent deployments across your organization

2. Restrict local administrative access to systems running the agent to only essential personnel

3. Implement principle of least privilege for service accounts running the agent

4. Enable and monitor Azure Arc audit logs for suspicious privilege escalation attempts

5. Isolate or air-gap critical systems running the agent until patches are available



COMPENSATING CONTROLS:

1. Deploy host-based intrusion detection (HIDS) to monitor for privilege escalation attempts

2. Implement application whitelisting to prevent unauthorized privilege escalation tools

3. Use Windows Event Viewer to monitor Security event ID 4688 (Process Creation) and 4672 (Special Privileges Assigned)

4. Configure Azure Policy to enforce MFA for all Azure Arc-connected resources

5. Implement network segmentation to limit lateral movement from compromised agents



DETECTION RULES:

1. Monitor for unexpected elevation of privileges on Azure Arc-connected machines

2. Alert on any process execution with SYSTEM privileges initiated from Azure Connected Machine Agent service account

3. Track modifications to agent configuration files and registry keys

4. Monitor for unusual service account behavior and token impersonation attempts



PATCHING GUIDANCE:

1. Subscribe to Microsoft Security Updates for Azure Connected Machine Agent

2. Establish a testing environment to validate patches before production deployment

3. Plan phased rollout of patches across your infrastructure

4. Document all systems and their current agent versions for tracking

الإجراءات الفورية:

1. قم بحصر جميع نشرات وكيل Azure Connected Machine عبر مؤسستك

2. قيد الوصول الإداري المحلي للأنظمة التي تقوم بتشغيل الوكيل للموظفين الأساسيين فقط

3. طبق مبدأ أقل امتياز لحسابات الخدمة التي تقوم بتشغيل الوكيل

4. فعّل ومراقبة سجلات تدقيق Azure Arc لمحاولات رفع الامتيازات المريبة

5. عزل أو افصل الأنظمة الحرجة التي تقوم بتشغيل الوكيل حتى تصبح التصحيحات متاحة



الضوابط البديلة:

1. نشر كشف التطفل على مستوى المضيف (HIDS) لمراقبة محاولات رفع الامتيازات

2. تطبيق القائمة البيضاء للتطبيقات لمنع أدوات رفع الامتيازات غير المصرح بها

3. استخدم عارض أحداث Windows لمراقبة معرف الحدث 4688 (إنشاء العملية) و4672 (تعيين الامتيازات الخاصة)

4. قم بتكوين سياسة Azure لفرض المصادقة متعددة العوامل لجميع موارد Azure Arc المتصلة

5. تطبيق تقسيم الشبكة لتحديد الحركة الجانبية من الوكلاء المخترقة



قواعد الكشف:

1. مراقبة رفع الامتيازات غير المتوقع على أجهزة Azure Arc المتصلة

2. تنبيه على أي تنفيذ عملية بامتيازات SYSTEM بدء من حساب خدمة وكيل Azure Connected Machine

3. تتبع التعديلات على ملفات تكوين الوكيل ومفاتيح السجل

4. مراقبة سلوك حساب الخدمة غير المعتاد ومحاولات محاكاة الرموز



إرشادات التصحيح:

1. اشترك في تحديثات أمان Microsoft لوكيل Azure Connected Machine

2. أنشئ بيئة اختبار للتحقق من صحة التصحيحات قبل نشر الإنتاج

3. خطط لنشر مرحلي للتصحيحات عبر البنية التحتية الخاصة بك

4. وثق جميع الأنظمة وإصدارات الوكيل الحالية الخاصة بها للتتبع