Microsoft no soluciona las principales fallas de seguridad de la Galería PowerShell incluso después de afirmar que lo hizo

El equipo de investigadores de seguridad de AquaSec (Aqua Security) ha publicado un informe que destaca una serie de importantes vulnerabilidades de seguridad que actualmente residen en la Galería PowerShell de Microsoft. Como sugiere el nombre, PowerShell Gallery o PSGallery es un repositorio que contiene scripts, módulos y recursos de configuración de estado deseado (DSC).

AquaSec explica en su informe que hay tres fallas principales en PSGallery, centradas en el engaño y la falsificación. Sin embargo, lo sorprendente del asunto es que Microsoft aparentemente ha estado al tanto del problema durante mucho tiempo y aún no ha implementado ninguna solución. AquaSec afirma:

A pesar de informar las fallas al Centro de respuesta de seguridad de Microsoft en dos ocasiones distintas, con la confirmación del comportamiento informado y las afirmaciones de correcciones en curso, a partir de agosto de 2023, los problemas siguen siendo reproducibles, lo que indica que no se han implementado cambios tangibles.

Para darnos una mejor idea de lo que significaba, AquaSec también publicó la línea de tiempo completa de divulgación de vulnerabilidades, lo que sugiere que el gigante tecnológico ha estado al tanto del problema desde septiembre del año pasado. De hecho, en marzo de 2023, Microsoft aparentemente confirmó que las «correcciones reactivas» estaban disponibles.

cronograma de divulgación

• 27 de septiembre de 2022: el equipo de Aqua Research informó fallas a MSRC.
• 20 de octubre de 2022: MSRC confirmó el comportamiento que informamos.
• 2 de noviembre de 2022: MSRC declaró que el problema se solucionó (no puede proporcionar detalles de las correcciones del producto en los servicios en línea).
• 26 de diciembre de 2022 – Reproducimos los defectos (sin prevención).
• 03 de enero de 2023: el equipo de Aqua Research reabrió el informe sobre las fallas de MSRC.
• 3 de enero de 2023: MSRC confirmó el comportamiento que informamos.
• 10 de enero de 2023: MSRC marcó el informe como Resuelto.
• 15 de enero de 2023: MSRC respondió: “El equipo de ingeniería todavía está trabajando para corregir Typosquatting y la falsificación de detalles del paquete. Actualmente tenemos una solución a corto plazo para los nuevos módulos publicados en PSGallery”.
• 07 de marzo de 2023: MSRC respondió: «Se han implementado soluciones reactivas».
• 16 de agosto de 2023: los defectos siguen siendo reproducibles.

Ahora, en cuanto a las fallas de seguridad en sí, AquaSec descubrió que los paquetes de PowerShell Gallery eran susceptibles a problemas de error tipográfico, que es, en esencia, la explotación de un error tipográfico por parte de una víctima potencial. El equipo de investigación de amenazas también encontró evidencia de más suplantación de identidad a través de la falsificación de metadatos del módulo. Finalmente, AquaSec también descubrió que los paquetes no listados también estaban expuestos.

Puede encontrar todos los detalles técnicos de cada uno de los problemas en esta publicación de blog titulada «PowerHell» en el sitio web de AquaSec.