Microsoft slaagt er niet in grote PowerShell Gallery-beveiligingsfouten op te lossen, zelfs niet nadat ze beweerden dat dit wel het geval was

Het beveiligingsonderzoekersteam van AquaSec (Aqua Security) heeft een rapport gepubliceerd waarin een reeks grote beveiligingsproblemen wordt belicht die zich momenteel in de PowerShell Gallery van Microsoft bevinden. Zoals de naam al doet vermoeden, is de PowerShell Gallery of PSGallery een opslagplaats die scripts, modules en DSC-bronnen (Desired State Configuration) bevat.

AquaSec legt in zijn rapport uit dat er drie grote tekortkomingen zijn in PSGallery, gecentreerd rond bedrog en vervalsing. Het verrassende is echter dat Microsoft blijkbaar al heel lang op de hoogte is van het probleem en nog geen enkele oplossing heeft geïmplementeerd. AquaSec stelt:

Ondanks het twee keer melden van de fouten aan het Microsoft Security Response Center, met bevestiging van het gerapporteerde gedrag en claims van lopende fixes, blijven de problemen vanaf augustus 2023 reproduceerbaar, wat aangeeft dat er geen tastbare wijzigingen zijn doorgevoerd.

Om ons een beter idee te geven van wat het betekende, heeft AquaSec ook de volledige tijdlijn voor het vrijgeven van kwetsbaarheden gepubliceerd, wat suggereert dat de technologiegigant al sinds september vorig jaar op de hoogte is van het probleem. Sterker nog, in maart 2023 bevestigde Microsoft schijnbaar dat er “reactieve oplossingen” uit waren.

Openbaarmaking tijdlijn

• 27 september 2022 – Het Aqua Research-team heeft gebreken gemeld aan MSRC.
• 20 oktober 2022 – MSRC bevestigde het gedrag dat we hebben gemeld.
• 2 november 2022 – MSRC verklaarde dat het probleem is opgelost (kan geen details geven over productfixes in Online Services).
• 26 december 2022 – We hebben de gebreken gereproduceerd (geen preventie).
• 03 januari 2023 – Aqua Research-team heropende het rapport over gebreken MSRC.
• 03 januari 2023 – MSRC bevestigde het gedrag dat we hebben gemeld.
• 10 januari 2023 – MSRC markeerde het rapport als Opgelost.
• 15 januari 2023 – MSRC antwoordde: “Het technische team werkt nog steeds aan het oplossen van de typosquatting en de spoofing van pakketdetails. We hebben momenteel een kortetermijnoplossing voor nieuwe modules die in PSGallery zijn gepubliceerd”.
• 07 maart 2023 – MSRC antwoordde: “Er zijn reactieve oplossingen aangebracht”.
• 16 augustus 2023 – Fouten zijn nog steeds reproduceerbaar.

Nu we het hebben over de beveiligingsfouten zelf, ontdekte AquaSec dat PowerShell Gallery-pakketten vatbaar waren voor typosquatting-problemen, wat in wezen neerkomt op het uitbuiten van een typefout door een potentieel slachtoffer. Het bedreigingsonderzoeksteam vond ook bewijs van meer spoofing via de vervalsing van metadata van modules. Ten slotte ontdekte AquaSec ook dat niet-vermelde pakketten werden blootgesteld.

U kunt alle technische details van elk van de problemen vinden in dit blogbericht met de titel “PowerHell” op de website van AquaSec.