Microsoft nie naprawił głównych luk w zabezpieczeniach Galerii PowerShell, nawet po tym, jak twierdził, że to zrobił

Zespół badaczy bezpieczeństwa w AquaSec (Aqua Security) opublikował raport, w którym zwrócono uwagę na serię głównych luk w zabezpieczeniach znajdujących się obecnie w Galerii Microsoft PowerShell. Jak sama nazwa wskazuje, PowerShell Gallery lub PSGallery to repozytorium zawierające skrypty, moduły i zasoby Desired State Configuration (DSC).

AquaSec wyjaśnia w swoim raporcie, że PSGallery ma trzy główne wady, skupione wokół oszustwa i fałszerstwa. Zaskakujące w tej sprawie jest jednak to, że Microsoft najwyraźniej był świadomy problemu od bardzo dawna i jeszcze nie wdrożył żadnej poprawki. AquaSec stwierdza:

Pomimo dwukrotnego zgłoszenia luk do Microsoft Security Response Center, z potwierdzeniem zgłoszonego zachowania i twierdzeniami o trwających poprawkach, od sierpnia 2023 r. problemy pozostają powtarzalne, co wskazuje, że nie wprowadzono żadnych namacalnych zmian.

Aby dać nam lepsze wyobrażenie o tym, co to znaczy, AquaSec opublikował również cały harmonogram ujawniania luk w zabezpieczeniach, co sugeruje, że gigant technologiczny był świadomy problemu od września ubiegłego roku. W rzeczywistości w marcu 2023 r. Microsoft najwyraźniej potwierdził, że „poprawki reaktywne” zostały wydane.

Harmonogram ujawnień

• 27 września 2022 r. — zespół Aqua Research zgłosił błędy do MSRC.
• 20 października 2022 r. – MSRC potwierdziło zgłoszone przez nas zachowanie.
• 2 listopada 2022 r. — firma MSRC poinformowała, że ​​problem został rozwiązany (nie może podać szczegółów poprawek produktu w usługach online).
• 26 grudnia 2022 – Odtworzyliśmy wady (brak profilaktyki).
• 03 stycznia 2023 – Zespół Aqua Research ponownie otworzył raport o błędach MSRC.
• 03 stycznia 2023 r. – MSRC potwierdziło zgłoszone przez nas zachowanie.
• 10 stycznia 2023 r. – MSRC oznaczyło raport jako rozwiązany.
• 15 stycznia 2023 r. — odpowiedź firmy MSRC: „Zespół inżynierów nadal pracuje nad naprawieniem typosquattingu i fałszowania szczegółów pakietu. Obecnie mamy krótkoterminowe rozwiązanie dla nowych modułów opublikowanych w PSGallery”.
• 7 marca 2023 r. — odpowiedź MSRC: „Wprowadzono reaktywne poprawki”.
• 16 sierpnia 2023 r. – Wady są nadal powtarzalne.

Przechodząc do samych luk w zabezpieczeniach, AquaSec stwierdził, że pakiety PowerShell Gallery były podatne na problemy związane z typosquattingiem, co w istocie polega na wykorzystaniu błędnego typu przez potencjalną ofiarę. Zespół zajmujący się badaniem zagrożeń znalazł również dowody na częstsze fałszowanie poprzez fałszowanie metadanych modułów. Wreszcie, AquaSec odkrył również, że ujawnione zostały również pakiety nienotowane.

Wszystkie szczegóły techniczne każdego z problemów można znaleźć w tym wpisie na blogu zatytułowanym „PowerHell” na stronie internetowej AquaSec.