MicrosoftはPowerShell Galleryの重大なセキュリティ上の欠陥を修正したと主張しながらも修正できていない

AquaSec (Aqua Security) のセキュリティ研究者チームは、現在 Microsoft の PowerShell ギャラリーに存在する一連の主要なセキュリティ脆弱性を強調するレポートを公開しました。名前が示すように、PowerShell ギャラリーまたは PSGallery は、スクリプト、モジュール、および Desired State Configuration (DSC) リソースを含むリポジトリです。

AquaSec は報告書の中で、PSGallery には欺瞞と偽造を中心とした 3 つの大きな欠陥があると説明しています。しかし、この問題で驚くべきことは、Microsoft がこの問題をかなり前から認識していたようで、まだ修正を実装していないことです。アクアセックは次のように述べています。

Microsoft Security Response Center に 2 回に分けて欠陥を報告し、報告された動作と継続的な修正の主張を確認したにもかかわらず、2023 年 8 月の時点で問題は依然として再現可能であり、具体的な変更が実装されていないことを示しています。

それが何を意味するのかをよりよく理解するために、AquaSec は脆弱性開示スケジュール全体も公開しました。これは、テクノロジー大手が昨年 9 月からこの問題を認識していたことを示唆しています。実際、2023 年 3 月に Microsoft は「事後対応修正」がリリースされたことを認めたようです。

開示スケジュール

• 2022 年 9 月 27 日 – Aqua Research チームが MSRC に欠陥を報告しました。
• 2022 年 10 月 20 日 – MSRC は、報告された動作を確認しました。
• 2022 年 11 月 2 日 – MSRC は、問題が修正されたと述べました (オンライン サービスでは製品修正の詳細を提供できません)。
• 2022 年 12 月 26 日 – 欠陥を再現しました (防止策なし)。
• 2023 年 1 月 3 日 – Aqua Research チームは MSRC の欠陥に関するレポートを再開しました。
• 2023 年 1 月 3 日 – MSRC は、私たちが報告した動作を確認しました。
• 2023 年 1 月 10 日 – MSRC はレポートを解決済みとしてマークしました。
• 2023 年 1 月 15 日 – MSRC は次のように回答しました。「エンジニアリング チームは、タイポスクワッティングとパッケージ詳細のなりすましの修正に引き続き取り組んでいます。現在、PSGallery に公開される新しいモジュールに対して短期的なソリューションを用意しています。」
• 2023 年 3 月 7 日 – MSRC は「事後対応の修正が実施されました」と回答しました。
• 2023 年 8 月 16 日 – 欠陥はまだ再現可能です。

ここでセキュリティ上の欠陥自体に焦点を当てますが、AquaSec は、PowerShell Gallery パッケージがタイポスクワッティングの問題、つまり潜在的な被害者によるタイプミスの悪用を受けやすいことを発見しました。脅威調査チームは、モジュールのメタデータの偽造によるさらなるなりすましの証拠も発見しました。最後に、AquaSec は、リストに掲載されていないパッケージも公開されていることを発見しました。

各問題の技術的な詳細は、AquaSec の Web サイトにある「PowerHell」というタイトルのブログ投稿で確認できます。