微軟聲稱已修復主要 PowerShell Gallery 安全漏洞,但未能修復
AquaSec (Aqua Security) 的安全研究團隊發布了一份報告,重點介紹了目前存在於 Microsoft PowerShell Gallery 中的一系列主要安全漏洞。顧名思義,PowerShell Gallery 或 PSGallery 是一個包含腳本、模塊和所需狀態配置 (DSC) 資源的存儲庫。
AquaSec 在其報告中解釋說,PSGallery 存在三個主要缺陷,主要是欺騙和偽造。但令人驚訝的是,微軟顯然很早就意識到了這個問題,但尚未實施任何修復。AquaSec 指出:
儘管在兩個不同的場合向Microsoft 安全響應中心報告了這些缺陷,並確認了所報告的行為並聲稱正在進行修復,但截至2023 年8 月,這些問題仍然可以重現,這表明尚未實施任何切實的更改。
為了讓我們更好地了解其含義,AquaSec 還發布了完整的漏洞披露時間表,這表明這家科技巨頭自去年 9 月以來就已經意識到了該問題。事實上,2023 年 3 月,微軟似乎確認“反應式修復”已經退出。
披露時間表
- 2022 年 9 月 27 日 – Aqua Research 團隊向 MSRC 報告了缺陷。
- 2022 年 10 月 20 日 – MSRC 證實了我們報告的行為。
- 2022 年 11 月 2 日 – MSRC 表示該問題已得到解決(無法在在線服務中提供產品修復的詳細信息)。
- 2022 年 12 月 26 日 – 我們重現了這些缺陷(無預防措施)。
- 2023 年 1 月 3 日 – Aqua Research 團隊重新公開了有關 MSRC 缺陷的報告。
- 2023 年 1 月 3 日 – MSRC 證實了我們報告的行為。
- 2023 年 1 月 10 日 – MSRC 將報告標記為“已解決”。
- 2023 年 1 月 15 日 – MSRC 回應稱,“工程團隊仍在致力於修復域名搶注和包裹詳細信息欺騙問題。我們目前為發佈到 PSGallery 的新模塊制定了短期解決方案”。
- 2023 年 3 月 7 日 – MSRC 回應稱,“反應性修復已到位”。
- 2023 年 8 月 16 日 – 缺陷仍然可以重現。
現在談到安全漏洞本身,AquaSec 發現 PowerShell Gallery 軟件包容易受到拼寫錯誤問題的影響,這本質上是潛在受害者利用錯誤輸入的情況。威脅研究團隊還發現了更多通過偽造模塊元數據進行欺騙的證據。最後,AquaSec 還發現未列出的軟件包也被暴露。
您可以在 AquaSec 網站上題為“PowerHell”的博客文章中找到每個問題的所有技術細節。
發佈留言