Eye Research: vergeten Microsoft infrastructuur vormde groot risico
Security-onderzoekers van Eye Research hebben een opmerkelijke kwetsbaarheid blootgelegd in een standaardtool van Microsoft. Door een veiligheidslek in de Windows Update Health Tools liepen wereldwijd bijna tienduizend bedrijven het risico dat hackers hun systemen konden overnemen. De oorzaak lag niet in complexe code, maar in 'vergeten' cloudinfrastructuur.
De software in kwestie, de Windows Update Health Tools, wordt door Microsoft automatisch verspreid om updateprocessen op computers soepeler te laten verlopen. Uit het onderzoek bleek echter dat oudere versies van deze tool verbinding bleven zoeken met opslaglocaties op het Microsoft Azure-platform die niet meer door de techgigant werden beheerd.
Verlaten opslaglocaties
Het gevaar ontstond doordat deze digitale opslaglocaties 'vrij' waren gekomen. Kwaadwillenden hadden deze domeinen kunnen registreren om zich voor te doen als Microsoft. Omdat de software op de computers van gebruikers deze locaties volledig vertrouwde, ontstond er een route voor Remote Code Execution (RCE). Dit betekent dat een aanvaller op afstand commando's kan uitvoeren op het getroffen apparaat.
"Wie deze verlaten opslaglocaties controleerde, kon beïnvloeden welke bestanden de tool ophaalde," aldus de onderzoekers. In een testopstelling wisten zij aan te tonen dat het mogelijk was om via deze weg de rekenmachine van Windows te openen – in de beveiligingswereld het standaardbewijs dat een hacker volledige toegang tot het systeem heeft verkregen.
Blind varen op oude instructies
Het onderzoek startte vanuit de vraag wat er gebeurt met cloudinfrastructuur die wordt afgestoten, maar waar software nog wel naar verwijst. De onderzoekers vergelijken de situatie met een vrachtwagenchauffeur die elke dag naar hetzelfde magazijn rijdt voor instructies. "Op een dag is het magazijn niet meer bemand, maar de voertuigen blijven komen. De deuren staan open, terwijl niemand oplet wat er op het bureau wordt achtergelaten."
Toen Eye Research één zo'n verlaten domein registreerde om te kijken wat er zou gebeuren, zagen ze direct resultaat. Binnen zeven dagen ontvingen ze op tien van deze locaties meer dan een half miljoen verzoeken, afkomstig uit de netwerkomgevingen (tenants) van bijna tienduizend organisaties.
Gevaar geweken
De kwetsbaarheid onderstreept volgens de onderzoekers een belangrijk risico in moderne IT: blind vertrouwen in leveranciers. "Zelfs bekende tools van grote leveranciers kunnen verborgen afhankelijkheden bevatten die onverwachte risico’s veroorzaken wanneer ze niet meer actief worden beheerd."
Eye Research heeft de bevindingen direct gemeld bij Microsoft via een responsible disclosure-procedure. Microsoft heeft de betrokken opslaglocaties inmiddels weer in eigen beheer genomen, waardoor misbruik via deze route niet meer mogelijk is.
Meer over cybersecurity
Over Witold Kepinski
