RCE em Update Health Tools da Microsoft por contas Azure Blob não registradas | Riscos e Ameaças

Uma falha na versão 1.0 do Microsoft Update Health Tools permitia que blobs Azure desregistrados fossem controlados por terceiros, gerando mais de 544.000 requisições e possibilitando execução de código via a ação "ExecuteTool"; atualize para a versão 1.1 e revise compatibilidades.

Pesquisadores identificaram uma vulnerabilidade de execução remota (RCE) ligada ao componente Microsoft Update Health Tools (KB4023057, versão 1.0) que utilizava endpoints Azure Blob com nomes previsíveis; contas de blob não registradas foram registradas por terceiros e usadas para entregar payloads, permitindo execução de comandos remotos via o serviço de atualização.

Descoberta e escopo

A falha afetou a versão 1.0 do Update Health Tools. A ferramenta seguia um padrão de nomes para Azure Blob storage (payloadprod0 até payloadprod15.blob.core.windows.net) para buscar arquivos de configuração e comandos. Pesquisadores da Eye Security verificaram que 10 das 15 contas de storage estavam desregistradas e, ao registrar essas contas, observaram tráfego substancial direcionado a elas.

Dados observados

Ao registrar endpoints abandonados, os pesquisadores registraram mais de 544.000 requisições HTTP em sete dias.
As requisições vieram de quase 10.000 tenants Azure únicos, segundo a fonte.
O serviço envolvido no host local é o uhssvc.exe, presente em C:\Program Files\Microsoft Update Health Tools, que resolve esses domínios em ambientes empresariais.

Vetor e mecanismo técnico

O problema reside na ação denominada "ExecuteTool", que permite a execução de binários assinados pela Microsoft a partir de payloads JSON recuperados dos blobs. Os pesquisadores demonstraram que, ao controlar os blobs consultados pelo Update Health Tools, era possível criar payloads que apontassem para executáveis legítimos do Windows (por exemplo, explorer.exe), resultando em execução de código em máquinas vulneráveis.

A versão 1.1 do componente substitui o mecanismo por um serviço web centralizado (devicelistenerprod.microsoft.com), mas a matéria indica que opções de compatibilidade retroativa ainda podem deixar sistemas expostos se não forem corretamente remediadas.

Cronologia pública

Eye Security reportou o problema à Microsoft em 7 de julho de 2025.
Microsoft confirmou o comportamento em 17 de julho de 2025.
Pesquisadores (a fonte menciona que pesquisadores de outra entidade) transferiram a propriedade das contas de storage registradas de volta à Microsoft em 18 de julho de 2025, encerrando o vetor demonstrado.

Impacto e recomendações

Segundo a fonte, a exploração permitia execução arbitrária de código em sistemas com a versão 1.0 do Update Health Tools, devido à combinação de blobs desregistrados e ao comportamento da ação ExecuteTool. Como medidas imediatas a matéria recomenda garantir que o Update Health Tools esteja na versão mais recente (1.1 ou superior), verificar se opções de compatibilidade retroativa estão desabilitadas e monitorar tráfego para endpoints Azure Blob anômalos originados por serviços de atualização.

Limites das informações

As matérias trazem números de telemetria observados pelos pesquisadores ao registrar os blobs vazios, mas não documentam incidentes confirmados de exploração em larga escala em ambientes de produção. As fontes não detalham a extensão de sistemas efetivamente comprometidos antes da mitigação.

O que operacionalizar

Verificar versão instalada do Update Health Tools e atualizar para a versão indicada pela Microsoft.
Auditar e bloquear tráfego interno/externo a domínios payloadprod*.blob.core.windows.net se a organização não utilizar esses endpoints legítimos.
Monitorar processos e ações associadas ao uhssvc.exe e examinar requisições HTTP incomuns a endpoints Azure Blob a partir de computadores gerenciados.