Onderzoekers van Microsoft hebben tientallen kritieke kwetsbaarheden in Internet of Things (IoT)- en Operational Technology (OT)-apparaten en industriële systemen ontdekt waardoor aanvallers in het ergste geval de machines kunnen overnemen. De meer dan 25 beveiligingslekken hebben de naam "BadAlloc" gekregen en bevinden zich in de functies die worden gebruikt voor het toewijzen van geheugen binnen real-time operating systems (RTOS), embedded software development kits (SDKs) en C standard library (libc) implementaties.

Het gaat dan om functies als malloc, calloc, realloc, memalign, valloc en pvalloc. Uit het onderzoek van Microsoft blijkt dat bij de implementatie van deze functies binnen de software van IoT- en OT-apparaten er onvoldoende invoervalidatie is toegepast. Een aanvaller kan zodoende de memory allocation functies misbruiken en een heap overflow veroorzaken, waardoor er kwaadaardige code op het apparaat kan worden uitgevoerd.

Volgens Microsoft vormen de kwetsbaarheden, vanwege het feit dat IoT- en OT-apparaten overal aanwezig zijn, een groot risico voor allerlei soorten organisaties. Via de beveiligingslekken kan een aanvaller beveiligingsmaatregelen omzeilen om willekeurige code uit te voeren of de systemen te laten crashen. Voor zover bekend is er nog geen misbruik van de kwetsbaarheden gemaakt.

Microsoft heeft de betreffende leveranciers van tevoren ingelicht, zodat die beveiligingsupdates konden ontwikkelen. Het techbedrijf erkent dat het lastig kan zijn om IoT- en OT-apparaten te patchen. Wanneer het uitrollen van updates niet meteen mogelijk is worden mitigerende maatregelen aangeraden, zoals kwetsbare apparaten niet toegankelijk maken vanaf het internet, toepassen van netwerkmonitoring en implementeren van netwerksegmentatie.