Microsoft non riesce a correggere i principali difetti di sicurezza di PowerShell Gallery anche dopo aver affermato di averlo fatto

Il team di ricerca sulla sicurezza di AquaSec (Aqua Security) ha pubblicato un rapporto che evidenzia una serie di importanti vulnerabilità di sicurezza che attualmente risiedono nella PowerShell Gallery di Microsoft. Come suggerisce il nome, PowerShell Gallery o PSGallery è un repository che contiene script, moduli e risorse DSC (Desired State Configuration).

AquaSec spiega nel suo rapporto che ci sono tre principali difetti in PSGallery, incentrati sull’inganno e la contraffazione. La cosa sorprendente della questione è che Microsoft è apparentemente a conoscenza del problema da molto tempo e non ha ancora implementato alcuna soluzione. AquaSec afferma:

Nonostante la segnalazione dei difetti al Microsoft Security Response Center in due diverse occasioni, con conferma del comportamento segnalato e affermazioni di correzioni in corso, ad agosto 2023 i problemi rimangono riproducibili, indicando che non sono state implementate modifiche tangibili.

Per darci un’idea migliore di cosa significasse, AquaSec ha anche pubblicato l’intera sequenza temporale della divulgazione della vulnerabilità che suggerisce che il gigante della tecnologia era a conoscenza del problema dal settembre dello scorso anno. In effetti, nel marzo 2023, Microsoft apparentemente ha confermato che erano disponibili “correzioni reattive”.

Cronologia della divulgazione

• 27 settembre 2022 – Il team di Aqua Research ha segnalato difetti a MSRC.
• 20 ottobre 2022 – MSRC ha confermato il comportamento che abbiamo segnalato.
• 2 novembre 2022 – MSRC ha dichiarato che il problema è stato risolto (non può fornire dettagli sulle correzioni del prodotto nei Servizi online).
• 26 dicembre 2022 – Abbiamo riprodotto i difetti (nessuna prevenzione).
• 03 gennaio 2023 – Il team di Aqua Research ha riaperto il rapporto sui difetti MSRC.
• 03 gennaio 2023 – MSRC ha confermato il comportamento che abbiamo segnalato.
• 10 gennaio 2023 – MSRC ha contrassegnato il rapporto come Risolto.
• 15 gennaio 2023 – MSRC ha risposto: “Il team di ingegneri sta ancora lavorando per correggere il Typosquatting e lo spoofing dei dettagli del pacchetto. Al momento disponiamo di una soluzione a breve termine per i nuovi moduli pubblicati su PSGallery”.
• 07 marzo 2023 – MSRC ha risposto: “Sono state messe in atto correzioni reattive”.
• 16 agosto 2023 – I difetti sono ancora riproducibili.

Venendo ora alle falle di sicurezza stesse, AquaSec ha scoperto che i pacchetti di PowerShell Gallery erano suscettibili a problemi di typosquatting, che è, in sostanza, lo sfruttamento di un errore di battitura da parte di una potenziale vittima. Il team di ricerca sulle minacce ha anche trovato prove di ulteriori spoofing tramite la contraffazione dei metadati del modulo. Infine, AquaSec ha anche scoperto che venivano esposti anche pacchetti non in elenco.

Puoi trovare tutti i dettagli tecnici di ciascuno dei problemi in questo post sul blog intitolato “PowerHell” sul sito Web di AquaSec.