Door Microsoft opgegeven Azure-locaties maakten rce mogelijk via Windows-tool

In dit artikel:

Het Nederlandse beveiligingsbedrijf Eye Security vond een kwetsbaarheid in de Windows Update Health Tools van Microsoft waardoor onder bepaalde voorwaarden remote code execution (RCE) mogelijk was op apparaten die die tool gebruikten. De tool wordt automatisch via Windows Update uitgerold om updates betrouwbaarder te laten verlopen; een verouderde 1.0-versie bleef echter verbinding zoeken met Azure-opslaglocaties die niet (meer) door Microsoft werden beheerd.

Eye Security registreerde een van die opslagdomeinen en zag binnen enkele uren wereldwijd gestructureerde verzoeken binnenkomen van apparaten die een door Microsoft ondertekende updateservice gebruikten. Een voorspelbaar naamgevingspatroon wees op meerdere verlaten endpoints; in zeven dagen kregen tien van die opslagplaatsen meer dan een half miljoen verzoeken uit bijna tienduizend Azure-tenants. In gecontroleerde tests toonde het bedrijf aan dat RCE onder specifieke omstandigheden haalbaar was.

De kwetsbaarheid betrof alleen versie 1.0; versie 1.1 (december 2022) gebruikte wél Azure-locaties onder Microsofts beheer. Eye Security meldde het probleem op 7 juli bij Microsoft en droeg later die maand het beheer van de getroffen Azure-locaties over, waarna de zaak werd opgelost. Volgens Eye Security was de praktische impact beperkt, omdat relatief weinig apparaten nog de kwetsbare 1.0-versie gebruikten.