Уязвимост в Microsoft Update Health Tools застрашава хиляди Windows среди

Открита е сериозна уязвимост за отдалечено изпълнение на код (RCE) в компонента Microsoft Update Health Tools (KB4023057) – инструмент, широко използван в корпоративните среди за ускоряване на внедряването на актуализации през Intune.
Проблемът произтича от факта, че инструментът комуникира с изоставени Azure Blob storage акаунти, които нападатели могат да регистрират и поемат под контрол.

Механизъм на уязвимостта

Уязвимостта засяга версия 1.0 на Update Health Tools. Тя използва Azure Blob storage домейни с предвидима структура, например:
payloadprod0 … payloadprod15.blob.core.windows.net,
от които изтегля конфигурационни файлове и инструкции.

Изследователи от Eye Security установяват, че 10 от общо 15 такива акаунта изобщо не са били регистрирани от Microsoft.

Какво се случва при атака

След като изследователите регистрират тези изоставени домейни, те засичат:

544 000+ HTTP заявки за 7 дни
почти 10 000 уникални Azure клиента по света

Това означава, че инструментът продължава активно да се свързва към тези домейни чрез услугата uhssvc.exe, разположена в:
C:\Program Files\Microsoft Update Health Tools

Критичният момент: ExecuteTool

Най-опасната слабост е свързана с действието ExecuteTool, което позволява изпълнение на бинарни файлове, подписани от Microsoft.

Ако атакуващият подаде зловреден JSON, който сочи към легитимен Windows изпълним файл (напр. explorer.exe), той може да постигне произволно изпълнение на код върху засегнатата система.

Поправката във версия 1.1

Новата версия 1.1 въвежда коректно имплементиран web service на:
devicelistenerprod.microsoft.com

Въпреки това, обратната съвместимост може да остави някои организации изложени, ако старите конфигурации продължават да работят в средата.

Разкриване и реакция на Microsoft

7 юли 2025 г. – Eye Security докладва уязвимостта.
17 юли 2025 г. – Microsoft потвърждава поведението.
18 юли 2025 г. – Hashicorp изземва и прехвърля всички компрометирани Blob акаунти обратно на Microsoft, което затваря вектора на атака.

Какво трябва да направят организациите

1. Актуализиране
Уверете се, че работите с най-новата версия на Update Health Tools.

2. Проверка на конфигурациите
Изключете или премахнете всички legacy настройки, които все още реферират старите Blob домейни.

3. Мониторинг
Следете за нетипичен мрежов трафик към Azure Blob endpoints, свързани с update services.

4. Оценка на риска
Проведете проверка дали уязвимата логика ExecuteTool е била активна и дали има признаци за неправомерно изпълнение на бинарни файлове.

#Azure Blob, # microsoft, # RCE уязвимост, # Update Health Tools, # киберсигурност

e-security.bg

Подобни

Критична уязвимост в wolfSSL засяга милиарди устройства

14.04.2026

„Time-to-Exploit“ вече е отрицателно

14.04.2026

Уязвимост в софтуерната верига - OpenAI предприема спешни мерки за защита на macOS

13.04.2026

Критична уязвимост в Marimo

12.04.2026

thankyoufantasypictures-ai-generated-8705387_640

Кризa в екосистемата на Windows

10.04.2026

Критична RCE уязвимост в Apache ActiveMQ остава скрита 13 години

9.04.2026

Споделете

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

"Обясняваме сложните неща с прости думи"