Открита е сериозна уязвимост за отдалечено изпълнение на код (RCE) в компонента Microsoft Update Health Tools (KB4023057) – инструмент, широко използван в корпоративните среди за ускоряване на внедряването на актуализации през Intune.
Проблемът произтича от факта, че инструментът комуникира с изоставени Azure Blob storage акаунти, които нападатели могат да регистрират и поемат под контрол.

Механизъм на уязвимостта

Уязвимостта засяга версия 1.0 на Update Health Tools. Тя използва Azure Blob storage домейни с предвидима структура, например:
payloadprod0 … payloadprod15.blob.core.windows.net,
от които изтегля конфигурационни файлове и инструкции.

Изследователи от Eye Security установяват, че 10 от общо 15 такива акаунта изобщо не са били регистрирани от Microsoft.

Какво се случва при атака

След като изследователите регистрират тези изоставени домейни, те засичат:

• 544 000+ HTTP заявки за 7 дни

• почти 10 000 уникални Azure клиента по света

Това означава, че инструментът продължава активно да се свързва към тези домейни чрез услугата uhssvc.exe, разположена в:
C:\Program Files\Microsoft Update Health Tools

Критичният момент: ExecuteTool

Най-опасната слабост е свързана с действието ExecuteTool, което позволява изпълнение на бинарни файлове, подписани от Microsoft.

Ако атакуващият подаде зловреден JSON, който сочи към легитимен Windows изпълним файл (напр. explorer.exe), той може да постигне произволно изпълнение на код върху засегнатата система.

Поправката във версия 1.1

Новата версия 1.1 въвежда коректно имплементиран web service на:
devicelistenerprod.microsoft.com

Въпреки това, обратната съвместимост може да остави някои организации изложени, ако старите конфигурации продължават да работят в средата.

Разкриване и реакция на Microsoft

• 7 юли 2025 г. – Eye Security докладва уязвимостта.

• 17 юли 2025 г. – Microsoft потвърждава поведението.

• 18 юли 2025 г. – Hashicorp изземва и прехвърля всички компрометирани Blob акаунти обратно на Microsoft, което затваря вектора на атака.

Какво трябва да направят организациите

1. Актуализиране
Уверете се, че работите с най-новата версия на Update Health Tools.

2. Проверка на конфигурациите
Изключете или премахнете всички legacy настройки, които все още реферират старите Blob домейни.

3. Мониторинг
Следете за нетипичен мрежов трафик към Azure Blob endpoints, свързани с update services.

4. Оценка на риска
Проведете проверка дали уязвимата логика ExecuteTool е била активна и дали има признаци за неправомерно изпълнение на бинарни файлове.