Eye Security heeft een potentieel kritieke kwetsbaarheid ontdekt in de Windows Update Health Tools, die mogelijk duizenden bedrijfsapparaten had kunnen treffen.
Onderzoekers van Eye Security hebben een kwetsbaarheid ontdekt in Microsofts Windows Update Health Tools die remote code execution mogelijk maakte. Deze dienst wordt automatisch via Windows Update uitgerold om de betrouwbaarheid van het updateproces te verbeteren. Volgens Eye Security is een potentiële catastrofe vermeden.
In een blog beschrijft het Nederlandse beveiligingsbedrijf uitvoerig waar het fout liep. Een oudere versie van de tool bleef bestanden ophalen van Azure endpoints die Microsoft niet langer beheerde. Onder de juiste omstandigheden konden aanvallers deze opslaglocaties gebruiken om schadelijke bestanden aan te bieden die de tool vervolgens uitvoerde, met alle gevolgen van dien. De kwetsbaarheid kon potentieel duizenden bedrijven treffen.
Onbeheerde servers
De ontdekking begon toen Eye Research een verlaten Azure-opslagdomein identificeerde dat nog actief werd aangeroepen. Na registratie van het domein kwamen er binnen enkele uren gestructureerde verzoeken binnen van systemen wereldwijd. Uit het voorspelbare naamgevingspatroon bleek dat er nog meerdere soortgelijke endpoints bestonden. In totaal ontvingen tien van deze locaties meer dan een half miljoen verzoeken afkomstig van bijna tienduizend Azure-tenants.
In een gecontroleerde test konden de onderzoekers aantonen dat de tool onder specifieke voorwaarden opdrachten uitvoerde die afkomstig waren van deze onbeheerde opslag. Daarmee was remote code execution mogelijk. De situatie toont aan hoe een routinematige updateprocedure kan verworden tot een blinde vlek. De software bleef vertrouwen op infrastructuur die niet langer onder controle stond, zonder waarschuwing of actieve controle.
Lek gedicht
De onderzoekers hebben de kwetsbaarheid gemeld aan Microsoft. Alle betrokken opslaglocaties zijn overgedragen, zodat verder misbruik niet meer mogelijk is.
Volgens Eye Research onderstreept dit het belang van een ‘assume breach’-aanpak: systemen en infrastructuur verouderen, en ongecontroleerde afhankelijkheden kunnen tot veiligheidsrisico’s leiden. Zelfs gekende softwarecomponenten kunnen kwetsbaar zijn wanneer achterliggende systemen verdwijnen zonder dat dit wordt opgemerkt.