Windows-apparaten kwetsbaar door lek in Windows Update Health Tools
Een kwetsbaarheid in Microsofts Windows Update Health Tools kon ervoor zorgen dat kwaadwillenden op afstand code konden uitvoeren op Windows-apparaten van bijna tienduizend bedrijven wereldwijd. De tool, die automatisch via Windows Update wordt verspreid en bedoeld is om het updateproces te verbeteren, bleef in een oudere versie verbinding maken met Azure-opslaglocaties die niet langer door Microsoft werden beheerd. Wie deze verlaten opslaglocaties onder controle kreeg, kon beïnvloeden welke bestanden de tool downloadde. Onder specifieke omstandigheden ontstond zo een mogelijkheid om code uit te voeren op apparaten die de tool volledig vertrouwden.
Het lek is ontdekt door Eye Research, dat de kwetsbaarheid heeft gemeld bij Microsoft. Het onderzoek begon met de vraag wat er gebeurt met cloudinfrastructuur die ooit is verwijderd, maar nog steeds wordt aangeroepen door actieve software. Tijdens het monitoren van DNS-verkeer viel een Azure-opslagdomein op. Nadat dit domein werd geregistreerd, bleek het binnen enkele uren wereldwijd verkeer te ontvangen. Het betrof gestructureerde verzoeken van apparaten die een door Microsoft ondertekende updateservice gebruikten.
Voorspelbaar naamgevingspatroon
Een voorspelbaar naamgevingspatroon wees op meer verlaten endpoints. Binnen zeven dagen ontvingen tien van deze opslaglocaties meer dan een half miljoen verzoeken, afkomstig uit bijna tienduizend Azure-tenants. In gecontroleerde tests bleek dat remote code execution onder bepaalde voorwaarden mogelijk was. Een eenvoudige rekenmachine die opent, werd gebruikt als bewijs: het toonde aan dat het systeem een opdracht uitvoerde die het nooit had mogen vertrouwen.
De situatie is te vergelijken met een wagenpark dat dagelijks instructies ophaalt bij een magazijn dat niet langer bemand is. De voertuigen blijven komen, de deuren staan open en het proces lijkt te functioneren – terwijl niemand controleert wat er wordt achtergelaten. De oudere versie van de tool vertrouwde nog steeds op locaties die allang niet meer van Microsoft waren, zonder dat dit actief werd gecontroleerd.
Waakzaamheid tegen verborgen risico’s
Deze kwetsbaarheid laat zien dat beveiligingslekken niet altijd het gevolg zijn van actieve aanvallen, maar soms ontstaan door verouderd gedrag dat ooit logisch was, maar zijn context verlies. Zelfs bekende tools van grote leveranciers kunnen onverwachte risico’s met zich meebrengen wanneer afhankelijkheden niet meer actief worden beheerd.
Het benadrukt het belang van een assume breach-mindset: systemen veranderen, infrastructuur veroudert en er ontstaan plekken waar niemand meer naar kijkt. Onafhankelijk onderzoek kan dergelijke blinde vlekken blootleggen voordat ze worden misbruikt.
Afhandeling van het risico
De kwetsbaarheid is verantwoord gemeld bij Microsoft. Alle betrokken opslaglocaties zijn overgedragen, zodat misbruik niet langer mogelijk is. De ontdekking toont aan hoe belangrijk het is om ook onderdelen te onderzoeken die gemakkelijk over het hoofd worden gezien, en hoe subtiel risico’s kunnen ontstaan in veelgebruikte software.
Meer over Security
Over Wouter Hoeffnagel
