Patch στο PowerShell για να αποφύγετε το WDAC bypass

Η Microsoft ζήτησε από τους διαχειριστές συστήματος να κάνουν patch στο PowerShell 7 έναντι δύο τρωτών σημείων που επιτρέπουν στους εισβολείς να παρακάμψουν τις

εφαρμογές

του Windows Defender Application Control (WDAC) και να αποκτήσουν πρόσβαση σε plain text credentials.

Δείτε επίσης:



Ο Microsoft Edge Canary αποκτά τη



νέα δυνατότητα

Sharing Hub

Το PowerShell είναι μια λύση πολλαπλής πλατφόρμας που παρέχει ένα command-line shell, ένα framework και μια γλώσσα scripting που επικεντρώνεται στην



αυτοματοποίηση

για την επεξεργασία cmdlets του PowerShell.

Η Redmond κυκλοφόρησε το PowerShell 7.0.8 και το PowerShell 7.1.5 για να αντιμετωπίσει αυτά τα ελαττώματα

ασφαλείας

στα branches PowerShell 7 και PowerShell 7.1 τον Σεπτέμβριο και τον Οκτώβριο.

Δείτε επίσης:



Clippy: Η Microsoft “απειλεί” να τον αναστήσει ως emoji του Office

Διαρροή κωδικών πρόσβασης και παράκαμψη WDAC

Το WDAC έχει σχεδιαστεί για να προστατεύει τις συσκευές Windows από δυνητικά κακόβουλο λογισμικό, διασφαλίζοντας ότι μπορούν να εκτελούνται μόνο αξιόπιστες

εφαρμογές

και drivers, αποκλείοντας έτσι την εκκίνηση κακόβουλου λογισμικού και ανεπιθύμητου λογισμικού.

Όταν το επίπεδο ασφάλειας

WDAC

που βασίζεται σε software είναι ενεργοποιημένο στα Windows, το PowerShell μεταβαίνει αυτόματα σε



λειτουργία

περιορισμένης γλώσσας, περιορίζοντας την πρόσβαση μόνο σε ένα περιορισμένο σετ από Windows APIs.

Εκμεταλλευόμενοι την ευπάθεια παράκαμψης της δυνατότητας

ασφαλείας

του Windows Defender Application Control που εντοπίζεται ως CVE-2020-0951, οι απειλητικοί φορείς μπορούν να παρακάμψουν τη λίστα επιτρεπόμενων μέτρων του WDAC, η οποία τους επιτρέπει να εκτελούν εντολές PowerShell που διαφορετικά θα αποκλείονταν όταν είναι ενεργοποιημένο το WDAC.

Το δεύτερο ελάττωμα, που εντοπίστηκε ως CVE-2021-41355, είναι μια ευπάθεια αποκάλυψης πληροφοριών στο .NET Core όπου θα μπορούσαν να διαρρεύσουν credentials σε clear text σε συσκευές που λειτουργούν με



πλατφόρμες

non-Windows.

Δείτε επίσης:



Windows 11: Το Store είναι ανοιχτό σε app stores τρίτων

Πώς να πείτε εάν επηρεάζεστε

Η ευπάθεια CVE-2020-0951 επηρεάζει και τις εκδόσεις PowerShell 7 και PowerShell 7.1, ενώ το CVE-2021-41355 επηρεάζει μόνο τους χρήστες του PowerShell 7.1.

Για να ελέγξετε την έκδοση PowerShell που εκτελείτε και να προσδιορίσετε εάν είστε ευάλωτοι σε

επιθέσεις

που εκμεταλλεύονται αυτά τα δύο σφάλματα, μπορείτε να εκτελέσετε την εντολή pwsh -v από ένα Command Prompt.

Η Microsoft λέει ότι προς το παρόν δεν υπάρχουν

διαθέσιμα

μέτρα mitigation για τον αποκλεισμό του exploitation αυτών των ελαττωμάτων

ασφαλείας

.

Συνιστάται στους διαχειριστές να εγκαταστήσουν τις ενημερωμένες εκδόσεις PowerShell

7.0.8

και

7.1.5

το συντομότερο δυνατό για να προστατεύσουν τα



συστήματα

από πιθανές

επιθέσεις

.

Τον Ιούλιο, η Microsoft προειδοποίησε για ένα άλλο θέμα ευπάθειας εκτέλεσης απομακρυσμένου κώδικα .NET Core στο PowerShell 7.

Η Microsoft ανακοίνωσε πρόσφατα ότι θα διευκολύνει την

ενημέρωση

του PowerShell για πελάτες Windows 10 και Windows Server, με την



κυκλοφορία

μελλοντικών ενημερώσεων μέσω της υπηρεσίας Microsoft Update.

Πηγή πληροφοριών: bleepingcomputer.com