Keamanan sistem Windows kembali jadi sorotan setelah ditemukan sebuah celah kritis pada Update Health Tools (KB4023057) — komponen bawaan Windows yang biasanya berjalan otomatis untuk memastikan proses update tetap lancar, terutama lewat Intune.
Baca Juga : Bug Fatal di Windows GDI Buat Komputer Tiba-Tiba Mati Total
Masalahnya, celah ini bukan sekadar bug biasa. Para peneliti menemukan bahwa kerentanan ini bisa membuka peluang remote code execution (RCE) alias akses eksekusi kode jarak jauh. Dengan kata lain, penyerang bisa menjalankan perintah berbahaya di perangkat korban tanpa harus menyentuh perangkatnya langsung.
Lalu, bagaimana celah ini bisa muncul? Kenapa komponen resmi Windows justru membuka pintu bagi pelaku kejahatan siber? Dan apa langkah yang harus dilakukan organisasi untuk mengamankan sistem mereka? Yuk, kita bahas satu per satu dengan bahasa yang lebih mudah dicerna.
Awal Mula Kerentanan: Azure Blob yang Terlantar
Masalah utama dari kerentanan ini berasal dari cara Update Health Tools versi 1.0 berkomunikasi dengan servernya. Tool tersebut memakai Azure Blob storage untuk mengambil file konfigurasi dan instruksi tertentu.
Menariknya, storage tersebut menggunakan pola nama yang sangat mudah ditebak, mulai dari:
payloadprod0.blob.core.windows.net
hingga
payloadprod15.blob.core.windows.net
Nah, tim peneliti dari Eye Security menemukan sesuatu yang cukup mengejutkan: 10 dari 15 storage account tersebut ternyata tidak terdaftar dan tidak digunakan oleh Microsoft. Artinya, siapa pun bisa mendaftarkan domain tersebut dan mengendalikannya.
Jadi kebayang kan? Kalau storage account yang harusnya dipakai Microsoft justru “kosong” dan bisa diambil alih, itu sama saja seperti meninggalkan pintu server terbuka dengan kunci masih menempel.
Apa yang Terjadi Setelah Storage Diambil Alih
Ketika para peneliti mendaftarkan storage account yang terlantar itu, responsnya jauh di luar dugaan. Dalam tujuh hari saja, mereka mencatat lebih dari:
-
544.000 permintaan HTTP
-
dari hampir 10.000 tenant Azure unik
-
yang tersebar di berbagai negara
Artinya, Update Health Tools di ribuan organisasi di seluruh dunia secara aktif mengakses domain tersebut—tanpa tahu bahwa akun itu kini dikuasai pihak lain.
Hal ini juga terlihat dari aktivitas komponen uhssvc.exe, yang berada di:
C:\Program Files\Microsoft Update Health Tools
Komponen ini terus-menerus mencoba menghubungi storage account tadi. Dan di banyak lingkungan enterprise, aktivitas ini terjadi secara otomatis dan masif.
Kalau saja peneliti yang menemukannya adalah pihak jahat, dampaknya bisa jadi bencana global.
Masalah Paling Serius: Fitur “ExecuteTool”
Celah paling krusial terletak pada salah satu action di tool tersebut, yaitu ExecuteTool.
Fitur ini pada dasarnya memungkinkan Update Health Tools menjalankan file biner yang sudah ditandatangani Microsoft untuk tujuan pemeliharaan sistem.
Sayangnya, mekanisme ini bisa dimanipulasi.
Dengan mengirimkan payload JSON yang sudah dimodifikasi, penyerang dapat memerintahkan sistem untuk menjalankan executable bawaan Windows seperti explorer.exe—atau yang lainnya.
Dari titik itu, mereka bisa melakukan arbitrary code execution, yaitu menjalankan perintah apa pun dengan level kontrol yang berbahaya.
Sederhananya, kalau payload-nya berhasil diterima, sistem korban akan patuh menjalankan perintah yang diberikan seolah-olah itu instruksi resmi dari Microsoft.
Versi Baru Sudah Dibuat, Tapi Risiko Tetap Ada
Microsoft sebenarnya sudah merilis Update Health Tools versi 1.1, yang kini menggunakan server web resmi di:
devicelistenerprod.microsoft.com
Versi ini tidak lagi memakai Azure Blob storage yang bisa direbut. Namun, ada satu catatan penting: kompatibilitas ke belakang (backward compatibility).
Beberapa sistem mungkin masih mengaktifkan konfigurasi lama, terutama di organisasi besar dengan ribuan perangkat yang belum semuanya diperbarui.
Artinya, risiko masih bisa muncul kalau ada perangkat yang belum menjalankan versi terbaru.
Tanggapan Microsoft dan Penanganan Celah
Eye Security melaporkan temuan ini ke Microsoft pada 7 Juli 2025, dan responsnya cukup cepat.
Microsoft mengonfirmasi perilaku tersebut pada 17 Juli, dan sehari setelahnya, Hashicorp membantu mengembalikan kepemilikan seluruh storage account yang sudah direbut peneliti ke pihak Microsoft.
Dengan begitu, jalur serangan yang sempat terbuka kini sudah ditutup.
Namun, penutupan jalur ini tidak otomatis mengamankan seluruh perangkat. Organisasi tetap harus memastikan bahwa sistem mereka tidak lagi memakai konfigurasi lama.
Apa yang Harus Dilakukan Organisasi?
Untuk menghindari risiko serangan berbasis celah ini, ada beberapa langkah penting yang perlu dipastikan:
1. Perbarui Update Health Tools ke Versi Terbaru
Pastikan semua perangkat Windows yang menggunakan komponen ini sudah menjalankan versi 1.1 atau yang lebih baru.
2. Nonaktifkan Konfigurasi Lama
Cek apakah masih ada konfigurasi atau skrip internal yang memakai mekanisme penyimpanan versi lama. Jika ada, segera nonaktifkan.
3. Awasi Traffic ke Azure Blob Storage
Tim keamanan harus memonitor aktivitas jaringan yang mengarah ke domain Blob storage mencurigakan, terutama dengan nama payloadprod0–15.
Traffic seperti itu dapat menandakan perangkat masih mencoba mengakses endpoint lama yang dulu bisa diambil alih.
Baca Juga : Hati-Hati! Update Windows 11 24H2 Disebut Merusak Banyak Fitur Penting
Celah pada Update Health Tools ini menjadi pengingat bahwa bahkan komponen resmi dari perusahaan besar seperti Microsoft pun bisa menimbulkan risiko besar jika ada aspek kecil yang luput diawasi.
Kasus ini juga menunjukkan betapa pentingnya pengelolaan infrastruktur cloud—karena storage account yang dibiarkan kosong pun bisa berubah menjadi senjata berbahaya.
Dengan pembaruan yang tepat dan pemantauan aktif, organisasi bisa memastikan sistem mereka tetap aman dari penyalahgunaan.
