Panorama e descoberta
Pesquisadores da Eye Security identificaram uma vulnerabilidade crítica de execução remota de código (RCE) no Update Health Tools da Microsoft (KB4023057), versão 1.0, usada para acelerar a instalação de updates em ambientes gerenciados por Intune. Segundo o relatório, a ferramenta resolvia domínios de Azure Blob storage usando um padrão previsível (payloadprod0 … payloadprod15.blob.core.windows.net) para buscar arquivos de configuração e comandos.
Como a exploração funcionava
A falha surgiu porque 10 das 15 contas de blob previstas não estavam registradas e foram, portanto, passíveis de serem registradas por terceiros. Após registrar essas contas abandonadas, os pesquisadores observaram mais de 544.000 requisições HTTP em sete dias provenientes de quase 10.000 tenants Azure únicos, o que demonstra o alcance operacional do componente em grandes ambientes empresariais.
O serviço envolvido, uhssvc.exe, localizado em C:\Program Files\Microsoft Update Health Tools, fazia resoluções ativas desses domínios em múltiplas instalações. A ação “ExecuteTool” do mecanismo permitia a execução de bins assinados pela Microsoft indicados nos payloads JSON. Ao construir JSONs maliciosos que apontavam para executáveis legítimos do Windows (como explorer.exe), um atacante que controlasse os blobs podia provocar execução arbitrária de código nos sistemas afetados.
Sequência de resposta
A Eye Security reportou a descoberta à Microsoft em 7 de julho de 2025; a Microsoft confirmou o comportamento em 17 de julho. Em 18 de julho de 2025, pesquisadores da Hashicorp transferiram a propriedade das contas de armazenamento comprometidas de volta para a Microsoft, encerrando o vetor identificado pelos pesquisadores.
Impacto e mitigação
- Escopo: componente amplamente implantado em ambientes gerenciados por Intune; telemetria observada indica interação com milhares de tenants Azure.
- Risco técnico: execução de binários assinados induzida por payloads JSON controlados externamente.
- Mitigações recomendadas: garantir atualização para a versão 1.1 (que estabelece um serviço web em devicelistenerprod.microsoft.com), verificar e desabilitar opções de compatibilidade legadas, auditar tráfego para endpoints Azure Blob anômalos originados por processos de atualização e validar a presença de configurações antigas que ainda apontem para domínios payloadprodN.
Limitações das informações
As fontes descrevem o vetor de ataque, a sequência de correção e números de telemetria observados pelos pesquisadores; elas não documentam, publicamente, explorações em massa bem-sucedidas em clientes específicos ou um CVE público associado na matéria consultada.
O que equipes de segurança devem fazer agora
- Verificar a versão do Update Health Tools instalada (a vulnerabilidade foi detalhada na versão 1.0) e aplicar atualizações para a versão mais recente.
- Monitorar logs e EDR para processos que resolvem domínios payloadprod*.blob.core.windows.net ou conexões incomuns a contas Azure Blob não pertencentes à organização.
- Auditar configurações de compatibilidade que permitam o comportamento “ExecuteTool” e bloquear execução de comandos inesperados vindos de componentes de atualização.
Fontes consultadas: Cyber Security News (relatório da Eye Security e timeline de notificação/contenção).