A Microsoft falha em corrigir as principais falhas de segurança da PowerShell Gallery, mesmo depois de alegar que sim

A equipe de pesquisadores de segurança da AquaSec (Aqua Security) publicou um relatório que destaca uma série de grandes vulnerabilidades de segurança que residem atualmente na Galeria PowerShell da Microsoft. Como o nome sugere, a PowerShell Gallery ou PSGallery é um repositório que contém scripts, módulos e recursos de Desired State Configuration (DSC).

A AquaSec explica em seu relatório que existem três falhas principais no PSGallery, centradas em fraude e falsificação. O surpreendente sobre o assunto, porém, é que a Microsoft aparentemente está ciente do problema há muito tempo e ainda não implementou nenhuma correção. AquaSec afirma:

Apesar de relatar as falhas ao Microsoft Security Response Center em duas ocasiões distintas, com confirmação do comportamento relatado e reivindicações de correções em andamento, a partir de agosto de 2023, os problemas permanecem reproduzíveis, indicando que nenhuma alteração tangível foi implementada.

Para nos dar uma ideia melhor do que isso significava, a AquaSec também publicou toda a linha do tempo de divulgação de vulnerabilidades, o que sugere que a gigante da tecnologia está ciente do problema desde setembro do ano passado. De fato, em março de 2023, a Microsoft aparentemente confirmou que “correções reativas” estavam fora.

cronograma de divulgação

• 27 de setembro de 2022 – A equipe da Aqua Research relatou falhas ao MSRC.
• 20 de outubro de 2022 – MSRC confirmou o comportamento que relatamos.
• 2 de novembro de 2022 – MSRC declarou que o problema foi corrigido (não pode fornecer detalhes de correções de produtos nos Serviços Online).
• 26 de dezembro de 2022 – Reproduzimos as falhas (sem prevenção).
• 03 de janeiro de 2023 – A equipe Aqua Research reabriu o relatório sobre falhas MSRC.
• 03 de janeiro de 2023 – MSRC confirmou o comportamento que relatamos.
• 10 de janeiro de 2023 – MSRC marcou o relatório como Resolvido.
• 15 de janeiro de 2023 – MSRC respondeu: “A equipe de engenharia ainda está trabalhando para corrigir o Typosquatting e a falsificação de detalhes do pacote. Atualmente, temos uma solução de curto prazo para novos módulos publicados no PSGallery”.
• 07 de março de 2023 – O MSRC respondeu: “Correções reativas foram implementadas”.
• 16 de agosto de 2023 – As falhas ainda podem ser reproduzidas.

Agora, tratando das próprias falhas de segurança, a AquaSec descobriu que os pacotes do PowerShell Gallery eram suscetíveis a problemas de typosquatting, que é, em essência, a exploração de um erro de digitação por uma vítima em potencial. A equipe de pesquisa de ameaças também encontrou evidências de mais falsificações por meio da falsificação de metadados do módulo. Por fim, a AquaSec também descobriu que pacotes não listados também estavam sendo expostos.

Você pode encontrar todos os detalhes técnicos de cada um dos problemas nesta postagem de blog intitulada “PowerHell” no site da AquaSec.