Eye Research heeft een kwetsbaarheid ontdekt in Microsoft’s Windows Update Health Tools die remote code execution mogelijk had kunnen maken op Windows apparaten van bijna tienduizend bedrijven wereldwijd. De tool wordt automatisch via Windows Update verspreid en moet het updaten van apparaten betrouwbaarder maken. Een oudere versie bleef echter verbinding maken met Azure opslaglocaties die niet langer in beheer waren van Microsoft.
Wie deze verlaten opslaglocaties controleerde, kon beïnvloeden welke bestanden de tool ophaalde. Onder de juiste omstandigheden ontstond zo een route om code uit te voeren op apparaten die de tool volledig vertrouwden.
Hoe een vergeten Azure endpoint de doorslag gaf
Het onderzoek begon met de vraag wat er gebeurt met cloudinfrastructuur die ooit is verwijderd maar nog steeds wordt aangeroepen door actieve software. Tijdens het monitoren van DNS-verkeer viel één Azure opslagdomein direct op. Toen we dit domein registreerden, zagen we binnen enkele uren wereldwijd verkeer binnenkomen. Het ging om gestructureerde verzoeken van apparaten die een door Microsoft ondertekende update service gebruikten.
Een voorspelbaar naamgevingspatroon wees vervolgens op nog meer verlaten endpoints. In zeven dagen tijd ontvingen tien van deze opslaglocaties meer dan een half miljoen verzoeken afkomstig uit bijna tienduizend Azure tenants. In gecontroleerde tests konden we aantonen dat remote code execution onder specifieke voorwaarden mogelijk was.
Een simpele rekenmachine die opent is de standaardmanier om RCE te bewijzen. Het laat zien dat het systeem een opdracht uitvoert die het nooit had mogen vertrouwen.
Wanneer een routinematige update een blinde vlek wordt
Stel je een wagenpark voor dat elke ochtend naar hetzelfde magazijn rijdt om instructies op te halen. Op een dag is het magazijn niet meer bemand, maar de voertuigen blijven komen. De deuren staan open en het proces lijkt nog steeds te functioneren, terwijl niemand oplet wat er op het bureau wordt achtergelaten.
De oudere versie van de tool gedroeg zich net zo. De software bleef locaties vertrouwen die allang niet meer van Microsoft waren, zonder dat dit nog actief werd gecontroleerd.
Waarom organisaties hier alert op moeten zijn
Deze situatie laat zien dat kwetsbaarheden niet altijd ontstaan door aanvallers, maar soms voortkomen uit oud gedrag dat ooit logisch was maar zijn context verliest. Zelfs bekende tools van grote leveranciers kunnen verborgen afhankelijkheden bevatten die onverwachte risico’s veroorzaken wanneer ze niet meer actief worden beheerd.
Het onderstreept het belang van een assume breach mindset. Systemen veranderen, infrastructuur veroudert en er ontstaan plekken waar niemand meer kijkt. Onafhankelijk onderzoek maakt deze blinde vlekken zichtbaar voordat iemand ze kan misbruiken.
Hoe we het risico hebben weggenomen
We hebben het gedrag geanalyseerd, de impact bevestigd en de kwetsbaarheid op een verantwoordelijke manier gemeld bij Microsoft. Alle betrokken opslaglocaties zijn direct aan hen overgedragen, zodat misbruik niet meer mogelijk is.
Deze ontdekking laat zien hoe belangrijk het is om onderdelen te onderzoeken die snel over het hoofd worden gezien en hoe subtiel risico zich kan opbouwen in veelgebruikte software.
Over Eye Research
Het Eye Research Team bestaat uit beveiligingsspecialisten met ruime ervaring in zowel offensieve als defensieve security. Het team heeft achtergronden in onder andere de Nederlandse inlichtingendiensten AIVD en MIVD en werkt dagelijks aan het blootleggen van echte dreigingen en verborgen kwetsbaarheden. Het doel is om het digitale ecosysteem stap voor stap veiliger te maken. Meer van hun werk vind je op de
Eye Research website.