微軟聲稱已修復主要 PowerShell Gallery 安全漏洞，但未能修復

AquaSec (Aqua Security) 的安全研究團隊發布了一份報告，重點介紹了目前存在於 Microsoft PowerShell Gallery 中的一系列主要安全漏洞。顧名思義，PowerShell Gallery 或 PSGallery 是一個包含腳本、模塊和所需狀態配置 (DSC) 資源的存儲庫。

AquaSec 在其報告中解釋說，PSGallery 存在三個主要缺陷，主要是欺騙和偽造。但令人驚訝的是，微軟顯然很早就意識到了這個問題，但尚未實施任何修復。AquaSec 指出：

儘管在兩個不同的場合向Microsoft 安全響應中心報告了這些缺陷，並確認了所報告的行為並聲稱正在進行修復，但截至2023 年8 月，這些問題仍然可以重現，這表明尚未實施任何切實的更改。

為了讓我們更好地了解其含義，AquaSec 還發布了完整的漏洞披露時間表，這表明這家科技巨頭自去年 9 月以來就已經意識到了該問題。事實上，2023 年 3 月，微軟似乎確認“反應式修復”已經退出。

披露時間表

• 2022 年 9 月 27 日 – Aqua Research 團隊向 MSRC 報告了缺陷。
• 2022 年 10 月 20 日 – MSRC 證實了我們報告的行為。
• 2022 年 11 月 2 日 – MSRC 表示該問題已得到解決（無法在在線服務中提供產品修復的詳細信息）。
• 2022 年 12 月 26 日 – 我們重現了這些缺陷（無預防措施）。
• 2023 年 1 月 3 日 – Aqua Research 團隊重新公開了有關 MSRC 缺陷的報告。
• 2023 年 1 月 3 日 – MSRC 證實了我們報告的行為。
• 2023 年 1 月 10 日 – MSRC 將報告標記為“已解決”。
• 2023 年 1 月 15 日 – MSRC 回應稱，“工程團隊仍在致力於修復域名搶注和包裹詳細信息欺騙問題。我們目前為發佈到 PSGallery 的新模塊制定了短期解決方案”。
• 2023 年 3 月 7 日 – MSRC 回應稱，“反應性修復已到位”。
• 2023 年 8 月 16 日 – 缺陷仍然可以重現。

現在談到安全漏洞本身，AquaSec 發現 PowerShell Gallery 軟件包容易受到拼寫錯誤問題的影響，這本質上是潛在受害者利用錯誤輸入的情況。威脅研究團隊還發現了更多通過偽造模塊元數據進行欺騙的證據。最後，AquaSec 還發現未列出的軟件包也被暴露。

您可以在 AquaSec 網站上題為“PowerHell”的博客文章中找到每個問題的所有技術細節。