Microsoft는 주요 PowerShell 갤러리 보안 결함을 수정했다고 주장한 후에도 수정하지 못했습니다.

AquaSec(Aqua Security)의 보안 연구원 팀은 현재 Microsoft의 PowerShell 갤러리에 있는 일련의 주요 보안 취약성을 강조하는 보고서를 게시했습니다. 이름에서 알 수 있듯이 PowerShell 갤러리 또는 PSGallery는 스크립트, 모듈 및 DSC(Desired State Configuration) 리소스가 포함된 리포지토리입니다.

AquaSec은 보고서에서 PSGallery에 속임수와 위조를 중심으로 세 가지 주요 결함이 있다고 설명합니다. 그러나이 문제에 대한 놀라운 점은 Microsoft가 오랫동안이 문제를 알고 있었지만 아직 수정 사항을 구현하지 않았다는 것입니다. AquaSec 상태:

두 차례에 걸쳐 Microsoft 보안 대응 센터에 결함을 보고했음에도 불구하고 보고된 동작과 진행 중인 수정 사항에 대한 주장을 확인하면서 2023년 8월 현재 문제가 재현 가능한 상태로 남아 있어 실질적인 변경 사항이 구현되지 않았음을 나타냅니다.

이것이 무엇을 의미하는지 더 잘 이해할 수 있도록 AquaSec은 전체 취약성 공개 타임라인도 게시했는데, 이는 거대 기술 기업이 작년 9월부터 이 문제를 알고 있었음을 시사합니다. 실제로 2023년 3월에 Microsoft는 “반응적 수정”이 종료되었음을 확인한 것으로 보입니다.

공개 일정

• 2022년 9월 27일 – Aqua Research 팀이 MSRC에 결함을 보고했습니다.
• 2022년 10월 20일 – MSRC는 보고된 동작을 확인했습니다.
• 2022년 11월 2일 – MSRC는 문제가 해결되었다고 밝혔습니다(온라인 서비스에서 제품 수정 사항에 대한 세부 정보를 제공할 수 없음).
• 2022년 12월 26일 – 결함을 재현했습니다(예방 없음).
• 2023년 1월 3일 – Aqua Research 팀이 MSRC 결함에 대한 보고서를 다시 열었습니다.
• 2023년 1월 3일 – MSRC는 우리가 보고한 행동을 확인했습니다.
• 2023년 1월 10일 – MSRC는 보고서를 해결됨으로 표시했습니다.
• 2023년 1월 15일 – MSRC는 “엔지니어링 팀은 여전히 ​​Typosquatting 및 패키지 세부 정보 스푸핑을 수정하기 위해 노력하고 있습니다. 현재 PSGallery에 게시된 새 모듈에 대한 단기 솔루션이 있습니다.”
• 2023년 3월 7일 – MSRC는 “대응 수정이 적용되었습니다”라고 응답했습니다.
• 2023년 8월 16일 – 결함이 여전히 재현 가능합니다.

이제 보안 결함 자체에 대해 AquaSec은 PowerShell 갤러리 패키지가 잠재적인 피해자가 잘못된 유형을 악용하는 타이포스쿼팅 문제에 취약하다는 사실을 발견했습니다. 위협 연구 팀은 또한 모듈 메타데이터의 위조를 통해 더 많은 스푸핑의 증거를 발견했습니다. 마지막으로 AquaSec은 목록에 없는 패키지도 노출되고 있음을 발견했습니다.

AquaSec 웹 사이트의 “PowerHell”이라는 제목의 이 블로그 게시물 에서 각 문제에 대한 모든 기술적 세부 정보를 찾을 수 있습니다 .