Microsoft ne parvient pas à corriger les principales failles de sécurité de PowerShell Gallery, même après l’avoir affirmé

L’équipe de chercheurs en sécurité d’AquaSec (Aqua Security) a publié un rapport qui met en évidence une série de vulnérabilités de sécurité majeures résidant actuellement dans la galerie PowerShell de Microsoft. Comme son nom l’indique, PowerShell Gallery ou PSGallery est un référentiel qui contient des scripts, des modules et des ressources de configuration d’état souhaitée (DSC).

AquaSec explique dans son rapport qu’il existe trois failles majeures dans PSGallery, centrées sur la tromperie et la contrefaçon. La chose surprenante à ce sujet est que Microsoft est apparemment au courant du problème depuis très longtemps et n’a pas encore mis en œuvre de correctif. AquaSec déclare :

Malgré le signalement des failles au Microsoft Security Response Center à deux reprises, avec la confirmation du comportement signalé et les réclamations de correctifs en cours, en août 2023, les problèmes restent reproductibles, indiquant qu’aucun changement tangible n’a été mis en œuvre.

Pour nous donner une meilleure idée de ce que cela signifiait, AquaSec a également publié l’intégralité du calendrier de divulgation des vulnérabilités, ce qui suggère que le géant de la technologie est au courant du problème depuis septembre de l’année dernière. En fait, en mars 2023, Microsoft a apparemment confirmé que les « correctifs réactifs » étaient sortis.

Calendrier de divulgation

• 27 septembre 2022 – L’équipe d’Aqua Research a signalé des failles au MSRC.
• 20 octobre 2022 – MSRC a confirmé le comportement que nous avons signalé.
• 2 novembre 2022 – MSRC a déclaré que le problème a été résolu (ne peut pas fournir de détails sur les correctifs du produit dans les services en ligne).
• 26 décembre 2022 – Nous avons reproduit les failles (pas de prévention).
• 03 janvier 2023 – L’équipe d’Aqua Research a rouvert le rapport sur les failles du MSRC.
• 03 janvier 2023 – MSRC a confirmé le comportement que nous avons signalé.
• 10 janvier 2023 – MSRC a marqué le rapport comme Résolu.
• 15 janvier 2023 – MSRC a répondu : « L’équipe d’ingénierie travaille toujours à la correction du Typosquatting et de l’usurpation des détails du package. Nous avons actuellement une solution à court terme en place pour les nouveaux modules publiés sur PSGallery ».
• 07 mars 2023 – Le MSRC a répondu : « Des correctifs réactifs ont été mis en place ».
• 16 août 2023 – Les défauts sont toujours reproductibles.

En ce qui concerne maintenant les failles de sécurité elles-mêmes, AquaSec a constaté que les packages PowerShell Gallery étaient sensibles aux problèmes de typosquattage, ce qui est essentiellement l’exploitation d’une erreur de frappe par une victime potentielle. L’équipe de recherche sur les menaces a également trouvé des preuves d’une plus grande usurpation via la falsification des métadonnées des modules. Enfin, AquaSec a également découvert que des packages non répertoriés étaient également exposés.

Vous pouvez trouver tous les détails techniques de chacun des problèmes dans ce billet de blog intitulé « PowerHell » sur le site Web d’AquaSec.