Eye Security a découvert une vulnérabilité potentiellement critique dans les Windows Update Health Tools, qui aurait pu affecter des milliers d’appareils d’entreprise.
Les chercheurs d’Eye Security ont découvert une vulnérabilité dans les Windows Update Health Tools de Microsoft qui permettait l’exécution de code à distance. Ce service est déployé automatiquement via Windows Update pour améliorer la fiabilité du processus de mise à jour. Selon Eye Security, une catastrophe potentielle a été évitée.
Dans un blog, l’entreprise de sécurité néerlandaise décrit en détail où le problème est survenu. Une version plus ancienne de l’outil continuait à récupérer des fichiers depuis des points de terminaison Azure que Microsoft ne gérait plus. Dans les bonnes conditions, les attaquants pouvaient utiliser ces emplacements de stockage pour proposer des fichiers malveillants que l’outil exécutait ensuite, avec toutes les conséquences que cela implique. La vulnérabilité pouvait potentiellement affecter des milliers d’entreprises.
Serveurs non gérés
La découverte a commencé lorsqu’Eye Research a identifié un domaine de stockage Azure abandonné qui était encore activement appelé. Après l’enregistrement du domaine, des requêtes structurées provenant de systèmes du monde entier sont arrivées en quelques heures. Le modèle de nommage prévisible a révélé l’existence de plusieurs points de terminaison similaires. Au total, dix de ces emplacements ont reçu plus d’un demi-million de requêtes provenant de près de dix mille locataires Azure.
Lors d’un test contrôlé, les chercheurs ont pu démontrer que l’outil exécutait, sous certaines conditions spécifiques, des commandes provenant de ce stockage non géré. Cela rendait possible l’exécution de code à distance. La situation montre comment une procédure de mise à jour routinière peut devenir un angle mort. Le logiciel continuait à faire confiance à une infrastructure qui n’était plus sous contrôle, sans avertissement ni vérification active.
Faille colmatée
Les chercheurs ont signalé la vulnérabilité à Microsoft. Tous les emplacements de stockage concernés ont été transférés, rendant impossible toute exploitation ultérieure.
Selon Eye Research, cela souligne l’importance d’une approche ‘assume breach’ : les systèmes et l’infrastructure vieillissent, et les dépendances non contrôlées peuvent conduire à des risques de sécurité. Même des composants logiciels connus peuvent devenir vulnérables lorsque les systèmes sous-jacents disparaissent sans que cela ne soit remarqué.