Uma vulnerabilidade crítica de execução remota de código (RCE) no Update Health Tools da Microsoft (KB4023057). Um componente do Windows amplamente implantado, projetado para agilizar atualizações de segurança por meio do Intune.
A falha decorre da ferramenta que se conecta a contas de armazenamento de Blobs do Azure descartadas que os invasores poderiam registrar e controlar.
Como funciona a vulnerabilidade
A vulnerabilidade existe na versão 1.0 do Update Health Tools, que usa contas de armazenamento de Blobs do Azure seguindo um padrão de nomenclatura previsível (payloadprod0 até payloadprod15.blob.core.windows.net) para buscar arquivos e comandos de configuração.
Os pesquisadores da Eye Security descobriram que a Microsoft deixou 10 das 15 contas de armazenamento não registradas e sem uso.
Depois de registrar esses endpoints abandonados, os pesquisadores observaram mais de 544 mil solicitações HTTP em sete dias de quase 10 mil locatários exclusivos do Azure em todo o mundo.
O serviço uhssvc.exe da ferramenta, localizado em C:\Program Files\Microsoft Update Health Tools, estava resolvendo ativamente esses domínios em vários ambientes corporativos.
arquivo uhssvc.exe
A questão crítica está na ação “ExecuteTool” da ferramenta, que permite a execução de binários assinados pela Microsoft.
Ao criar cargas JSON maliciosas que apontam para executáveis legítimos do Windows, como explorer.exe, os invasores podem executar códigos arbitrários em sistemas vulneráveis.
A versão 1.1 mais recente implementa um serviço web adequado em devicelistenerprod.microsoft.com, embora as opções de compatibilidade com versões anteriores ainda possam expor os sistemas.
Eye Security relatou a vulnerabilidade à Microsoft em 7 de julho de 2025, e a Microsoft confirmou o comportamento em 17 de julho.
Os pesquisadores da Hashicorp transferiram a propriedade de todas as contas de armazenamento comprometidas de volta para a Microsoft em 18 de julho de 2025, fechando efetivamente o vetor de ataque.
As organizações devem garantir que estão executando a versão mais recente do Update Health Tools e verificar se nenhuma configuração legada permanece habilitada.
As equipes de segurança devem monitorar o tráfego de rede incomum para pontos de extremidade de armazenamento de Blobs do Azure a partir de serviços de atualização.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Entre em contato conosco para apresentar suas histórias.
