Microsoft schafft es nicht, größere Sicherheitslücken in der PowerShell-Galerie zu beheben, selbst nachdem dies behauptet wurde

Das Sicherheitsforscherteam von AquaSec (Aqua Security) hat einen Bericht veröffentlicht, der eine Reihe schwerwiegender Sicherheitslücken hervorhebt, die sich derzeit in der PowerShell-Galerie von Microsoft befinden. Wie der Name schon sagt, ist die PowerShell-Galerie oder PSGallery ein Repository, das Skripte, Module und DSC-Ressourcen (Desired State Configuration) enthält.

AquaSec erklärt in seinem Bericht, dass es in PSGallery drei große Mängel gibt, die sich auf Täuschung und Fälschung konzentrieren. Das Überraschende an der Sache ist jedoch, dass Microsoft sich des Problems offenbar schon seit sehr langer Zeit bewusst ist und bisher keine Lösung implementiert hat. AquaSec erklärt:

Obwohl die Schwachstellen dem Microsoft Security Response Center bei zwei verschiedenen Gelegenheiten mit Bestätigung des gemeldeten Verhaltens und Behauptungen über laufende Korrekturen gemeldet wurden, sind die Probleme mit Stand August 2023 weiterhin reproduzierbar, was darauf hindeutet, dass keine konkreten Änderungen implementiert wurden.

Um uns eine bessere Vorstellung davon zu geben, was es bedeutete, hat AquaSec auch den gesamten Zeitplan für die Offenlegung von Sicherheitslücken veröffentlicht, was darauf hindeutet, dass der Technologieriese sich des Problems seit September letzten Jahres bewusst ist. Tatsächlich bestätigte Microsoft im März 2023 offenbar, dass „reaktive Korrekturen“ verfügbar seien.

Zeitplan für die Offenlegung

• 27. September 2022 – Das Aqua Research-Team hat dem MSRC Mängel gemeldet.
• 20. Oktober 2022 – MSRC bestätigte das von uns gemeldete Verhalten.
• 2. November 2022 – MSRC gab an, dass das Problem behoben wurde (kann keine Details zu Produktkorrekturen in Online-Diensten bereitstellen).
• 26. Dezember 2022 – Wir haben die Mängel reproduziert (keine Prävention).
• 03. Januar 2023 – Das Aqua Research-Team hat den Bericht über Mängel des MSRC erneut geöffnet.
• 03. Januar 2023 – MSRC bestätigte das von uns gemeldete Verhalten.
• 10. Januar 2023 – MSRC markiert den Bericht als gelöst.
• 15. Januar 2023 – MSRC antwortete: „Das Ingenieurteam arbeitet immer noch an der Behebung des Typosquattings und des Spoofings von Paketdetails. Wir haben derzeit eine kurzfristige Lösung für neue Module, die in der PSGallery veröffentlicht werden.“
• 07. März 2023 – MSRC antwortete: „Reaktive Korrekturen wurden durchgeführt.“
• 16. August 2023 – Fehler sind weiterhin reproduzierbar.

Kommen wir nun zu den Sicherheitslücken selbst: AquaSec stellte fest, dass PowerShell Gallery-Pakete anfällig für Typosquatting-Probleme sind, was im Wesentlichen die Ausnutzung eines Tippfehlers durch ein potenzielles Opfer darstellt. Das Bedrohungsforschungsteam fand außerdem Hinweise auf mehr Spoofing durch die Fälschung von Modulmetadaten. Schließlich stellte AquaSec auch fest, dass auch nicht gelistete Pakete offengelegt wurden.

Alle technischen Details zu den einzelnen Problemen finden Sie in diesem Blogbeitrag mit dem Titel „PowerHell“ auf der Website von AquaSec.