![\"Update\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/06\/Update-01.jpg\" "\\"Update\\"")
Die Microsofts Update Health Tools (KB4023057) – Deutsch \"Integrit\u00e4tstools \u2013 Windows Update Service-Komponenten\" war in der Version 1.0 angreifbar und erm\u00f6glichte Remote Code Execution-Angriffe. In der Version 1.1 sind zumindest Systeme f\u00fcr den EU-Bereich gesch\u00fctzt, wenn ich es richtig interpretiere. Die Schwachstellen sind nun beseitigt.<\/p>\n
<\/p>\n
Die Microsoft Update-Integrit\u00e4tstools sind erforderlich, um Sicherheitsupdates \u00fcber Microsoft Intune und Microsoft Graph zu beschleunigen.<\/p>\n Microsoft schreibt hier<\/a>, dass dieses Update automatisch installiert werden sollte, sobald ein Ger\u00e4t mit Windows Updates-Diensten verbunden ist und automatische Updates zul\u00e4sst. Fehlen die Update Health Tools, lassen sich diese aus dem Microsoft Download Center herunterladen und installieren<\/a>.<\/p>\n In der Version 1.0 enthielten die Update Health Tools eine gravierende RCE-Schwachstelle, wie ich die Tage in nachfolgendem Tweet<\/a> gesehen habe. Cyber Security News hat es hier<\/a> aufgegriffen – der Originalbericht\u00a0When Updates Backfire: RCE in Windows Update Health Tools<\/a> der Sicherheitsforscher von Eye ist bereits am 20. Nov. 2025 erschienen.<\/p>\n Anfang 2025 gab es einen Bericht von WatchTowr \u00fcber verwaiste AWS S3-Buckets, die von Angreifern \u00fcbernommen und missbraucht werden konnten. Die Sicherheitsforscher fragten sich, wie viele aufgegebene Azure Blob Storage-Konten unbemerkt \u00fcbernommen und missbraucht werden k\u00f6nnen? Bei einer Suche und \u00dcberwachung den DNS-Verkehr auf den eigenen Windows-Rechnern wurden die Forscher von Eye h\u00e4ufiger als erwartet f\u00fcndig.<\/p>\n Die Microsoft Update Health Tools (KB4023057), die eigentlich zum Schutz von Windows-Rechnern gedacht sind, erm\u00f6glichen durch die Wiederverwendung verlassener Azure-Blobs tats\u00e4chlich eine Remote-Codeausf\u00fchrung (RCE). Microsofts Ziel, Sicherheitsupdates \u00fcber Intune zu beschleunigen, ist zwar gut gedacht, war aber schlecht gemacht.\u00a0 Aufgrund eines Konfigurationsfehlers waren viele Ger\u00e4te gef\u00e4hrdet: Angreifer konnten Remote die Ausf\u00fchrung beliebigen Codes ausl\u00f6sen.<\/p>\n Im Beitrag When Updates Backfire: RCE in Windows Update Health Tools<\/a> erkl\u00e4ren die Sicherheitsforscher, wie sie dieses Problem entdeckt haben, wie Microsoft darauf reagiert hat und was Administratoren tun k\u00f6nnen, wenn Ger\u00e4te noch immer anf\u00e4llig sind.<\/p>\n Die Schwachstelle besteht in Version 1.0 der Update Health Tools (derzeit wird die Version 1.1 verteilt). Diese verwenden Azure Blob-Speicherkonten, zum\u00a0 Abrufen von Konfigurationsdateien und Befehlen.<\/p>\n Problem ist, dass dies mit einem vorhersehbaren Benennungsmuster (payloadprod0….<\/em> bis payloadprod15.blob.core.windows.net<\/em>) erfolgte.\u00a0Die Sicherheitsforscher von Eye Security stellten fest, dass Microsoft 10 der 15 Speicherkonten nicht registriert und ungenutzt gelassen hatte.<\/p>\n Nach der Registrierung dieser von Microsoft nicht registrierten Endpunkte beobachteten die Forscher innerhalb von sieben Tagen \u00fcber 544.000 HTTP-Anfragen von fast 10.000 einzelnen Azure-Mandanten weltweit.<\/p>\n Der uhssvc.exe<\/em>-Dienst der Tools (Aufruf unter C:\\Program Files\\Microsoft Update Health Tools<\/em>), forderte aus mehreren Unternehmensumgebungen diese Anfragen an. \u00dcber die Funktion\u00a0ExecuteTool<\/em> des Tools ist die Ausf\u00fchrung von durch Microsoft signierten Bin\u00e4rdateien m\u00f6glich.<\/p>\n Angreifer h\u00e4tten b\u00f6sartige JSON-Payloads erstellen k\u00f6nnen, die auf legitime Windows-Ausf\u00fchrungsdateien wie explorer.exe<\/em> verweisen. Dies h\u00e4tte ein gewisses Missbrauchspotential erm\u00f6glicht.\u00a0Die Untersuchung der Sicherheitsforscher bezieht sich auf die urspr\u00fcngliche Version 1.0 der Tools, f\u00fcr die die Sicherheitsforscher den genutzten Angriffsvektor beschreiben, Beweise aus der realen Telemetrie vorlegen und aufzeigen, wie neuere Versionen der Tools versucht haben, die L\u00fccke zu schlie\u00dfen.<\/p>\n Die neuere Version 1.1 implementiert unter\u00a0devicelistenerprod.microsoft.com <\/em>einen Webdienst, der die Probleme vermeidet. Problem ist, dass Optionen f\u00fcr die Abw\u00e4rtskompatibilit\u00e4t weiterhin Systeme gef\u00e4hrden k\u00f6nnten. Eye Security die Sicherheitsl\u00fccke am 7. Juli 2025 an Microsoft gemeldet und das Ganze wurde durch Microsoft am 17. Juli 2025 best\u00e4tigt. Details lasen sich dem verlinkten Artikel von Eye entnehmen.<\/p>\n","protected":false},"excerpt":{"rendered":" Die Microsofts Update Health Tools (KB4023057) – Deutsch \"Integrit\u00e4tstools \u2013 Windows Update Service-Komponenten\" war in der Version 1.0 angreifbar und erm\u00f6glichte Remote Code Execution-Angriffe. In der Version 1.1 sind zumindest Systeme f\u00fcr den EU-Bereich gesch\u00fctzt, wenn ich es richtig interpretiere. … Weiterlesen Microsoft Update Health Tools wird sowohl f\u00fcr Windows-Consumer- als auch f\u00fcr kommerzielle Ger\u00e4te \u00fcber Windows Update als Update KB4023057<\/a> angeboten.<\/p>\n
\n
RCE-Schwachstelle in Update Health Tools<\/h2>\n
![\"RCE-Schwachstelle](\"https:\/\/i.postimg.cc\/BnVZst04\/image.png\" "\\"RCE-Schwachstelle")
<\/p>\n