Microsoft-Sicherheitslücke, Update-Tool

Microsoft-Sicherheitslücke: Update-Tool als trojanisches Pferd

26.11.2025 - 22:12:12

Microsoft-Sicherheitslücke: Update-Tool als trojanisches Pferd - Foto: über boerse-global.de
Microsoft-Sicherheitslücke: Update-Tool als trojanisches Pferd - Foto: über boerse-global.de

Eine tickende Zeitbombe im Windows-Fundament: Forscher entdeckten eine kritische Schwachstelle in einem Microsoft-Wartungstool, die Angreifern Fernzugriff auf Tausende Unternehmensnetzwerke hätte ermöglichen können. Das Pikante daran? Die Gefahr lauerte in einem Programm, das eigentlich für Sicherheit sorgen sollte.

Die niederländische Sicherheitsfirma Eye Security deckte am 20. November 2025 auf, wie das Microsoft Update Health Tools (KB4023057) zur Schwachstelle wurde. Der Grund: Das Programm verließ sich auf Cloud-Infrastruktur, die Microsoft längst aufgegeben hatte. Diese “herrenlose” Ressource konnten die Forscher übernehmen – und damit theoretisch Befehle an Windows-Rechner weltweit senden.

Microsoft hat mittlerweile reagiert und die kompromittierten Accounts zurückerobert. Doch der Vorfall offenbart ein wachsendes Risiko moderner Software-Lieferketten: die Gefahr durch “Zombie”-Infrastruktur, die niemand mehr kontrolliert.

Im Zentrum der Schwachstelle steht der Microsoft Update Health Service (uhssvc.exe), ein Hintergrunddienst auf Millionen Windows-Geräten. Version 1.0 dieses Tools war fest darauf programmiert, Konfigurationsdateien von bestimmten Azure-Speicherkonten abzurufen – benannt von payloadprod0 bis payloadprod15.

Anzeige

Passend zum Thema Cloud- und Lieferketten-Sicherheit: Wenn fast 10.000 Azure-Mandanten und über 40.000 Geräte potenziell betroffen waren, zeigt das, wie schnell verwaiste Ressourcen große Risiken schaffen. Unser kostenloses E‑Book für Unternehmen erklärt, welche pragmatischen Schritte IT‑Verantwortliche jetzt sofort umsetzen sollten — von Inventarisierung über Namensreservierung bis zu kontrollierten Kommunikationswegen — um Fernangriffe zu verhindern, ohne gleich neue Budgets zu benötigen. Jetzt kostenloses Cyber-Security-E-Book für Unternehmen herunterladen

Das Problem: Mehrere dieser Konten existierten nicht mehr, wurden aber weiterhin von der Software abgefragt.

Die Eye-Security-Forscher registrierten kurzerhand den freien Namen payloadprod0.blob.core.windows.net – und täuschten damit erfolgreich einen Microsoft-Update-Server vor. Was dann geschah, war beunruhigend: Sie konnten manipulierte JSON-Konfigurationsdateien an ahnungslose Geräte ausliefern.

Zwar verfügt der Dienst über eine Schutzfunktion, die nur von Microsoft signierte Programme ausführt. Doch die Forscher fanden einen Umweg: Sie nutzten den vertrauenswürdigen Windows-Explorer (explorer.exe) mit speziellen Befehlszeilenparametern, um beliebigen Code zu starten. Diese “Living off the Land”-Technik verwandelte das Update-Tool in ein trojanisches Pferd.

10.000 betroffene Organisationen

Die Dimension des Problems wurde schnell sichtbar. Nachdem Eye Security das verwaiste Konto übernommen hatte, verzeichnete ihr Server binnen einer Woche:

  • 544.386 HTTP-Anfragen von Windows-Geräten
  • Verbindungen von 9.976 verschiedenen Azure-Mandanten (Organisationen)
  • Zugriffe von über 40.000 einzelnen Geräten

Die betroffenen Systeme liefen hauptsächlich mit der veralteten Version 1.0 des Update Health Tools. Sie “telefonierten nach Hause” zu einem Server, der nicht mehr Microsoft gehörte – und warteten auf Befehle, die jeder Angreifer hätte missbrauchen können.

Besonders brisant: Darunter befanden sich auch deutsche Unternehmen und Behörden, die Azure-Dienste nutzen. Die Angriffsfläche umfasste nicht nur US-amerikanische, sondern globale Organisationen.

Chronologie der stillen Behebung

Microsoft reagierte auf die verantwortungsvolle Offenlegung durch Eye Security mit einer schnellen, aber stillen Schadensbegrenzung:

  • 7. Juli 2025: Eye Security meldet die Schwachstelle an Microsoft
  • 17. Juli 2025: Microsoft bestätigt das Problem
  • 18. Juli 2025: Microsoft übernimmt die verwaisten Speicherkonten zurück

Damit wurde der unmittelbare Angriffsvektor geschlossen. Allerdings beseitigt dies nicht das grundsätzliche Problem auf den Endgeräten. Microsoft hat in der Update Health Tools Version 1.1 den anfälligen Mechanismus komplett ersetzt. Die neue Version kommuniziert mit einem dedizierten, sicheren Webdienst (devicelistenerprod.microsoft.com) statt direkt mit Blob-Speichern.

Die aktuelle Version 1.1 stammt bereits vom 15. Juli 2024. IT-Administratoren sollten dringend prüfen, ob ihre Systeme diese oder eine neuere Version nutzen.

Das “Dangling Resource”-Problem

Was hier geschah, ist ein Paradebeispiel für eine neue Angriffskategorie: die Übernahme “herrenloser Ressourcen”. In Cloud-zentrierten IT-Umgebungen werden ständig Ressourcen erstellt und wieder gelöscht. Doch Verweise auf diese Ressourcen bleiben oft in Software oder Skripten hart codiert.

“Dieser Fall zeigt, wie Schwachstellen nicht durch aktive Angriffe entstehen, sondern durch veraltetes Verhalten, das seinen ursprünglichen Kontext überlebt”, erklärte Eye Security. Selbst etablierte Tools großer Anbieter könnten versteckte Abhängigkeiten enthalten, die unerwartete Risiken schaffen.

Besonders tückisch: Diese Angriffsmethode umgeht traditionelle Firewall-Schutzmaßnahmen. Da der Datenverkehr von einem vertrauenswürdigen internen Dienst ausgeht und zu einer legitimen Cloud-Provider-Domain (*.blob.core.windows.net) führt, schlagen Standard-Überwachungstools kaum an.

Was Unternehmen jetzt tun sollten

Für IT-Verantwortliche ergibt sich klarer Handlungsbedarf. Die unmittelbare Maßnahme: Überprüfen, ob alle Systeme die neueste Version der Update Health Tools verwenden. Viele Administratoren konzentrieren sich auf Betriebssystem-Patches – übersehen dabei aber die Wartungstools selbst.

Mittelfristig sind drei Entwicklungen zu erwarten:

Verschärfte Prüfung von Update-Mechanismen: Sicherheitsforscher werden sich verstärkt der “Sanitärinstallation” von Update-Diensten widmen und nach ähnlich hart codierten Altlasten suchen.

Strengere Cloud-Hygiene: Cloud-Anbieter könnten längere “Abkühlphasen” oder permanente Reservierungen für ausrangierte Dienstnamen einführen, um Subdomain-Hijacking zu verhindern.

Erweiterte Überwachung: Organisationen benötigen granularere Kontrollen für ausgehenden Datenverkehr von Systemprozessen – speziell für Verbindungen zu nicht verwalteten Cloud-Speicher-Endpunkten.

Bis zum 26. November 2025 wurden keine Anzeichen für eine böswillige Ausnutzung dieser Schwachstelle bekannt. Doch der Vorfall ist eine eindringliche Mahnung: In vernetzten Systemen kann eine vergessene Codezeile genauso gefährlich sein wie eine brandneue Zero-Day-Lücke. Was heute harmlos aussieht, könnte morgen das Einfallstor sein.

Anzeige

PS: Sie wollen verhindern, dass „herrenlose“ Cloud-Ressourcen zum Einfallstor werden? Dieses Gratis-E‑Book fasst praxisnahe Maßnahmen zusammen — Monitoring externer Endpunkte, striktes Naming-Management und Checklisten für Update‑Dienste — damit Ihre Infrastruktur nicht zur Sicherheitslücke wird. Ideal für Geschäftsführer und IT‑Teams, die sofort handeln wollen. Jetzt gratis Cyber-Security-Guide für Firmen anfordern

@ boerse-global.de
Die besten Black Friday Angebote für