Η Microsoft αποτυγχάνει να διορθώσει σημαντικά ελαττώματα ασφαλείας της Gallery PowerShell, ακόμη και αφού ισχυρίστηκε ότι το έκανε

Η ομάδα ερευνητών ασφαλείας στο AquaSec (Aqua Security) δημοσίευσε μια αναφορά που επισημαίνει μια σειρά από σημαν

τι

κά τρωτά σημεία ασφαλείας που βρίσκονται επί του παρόντος στη Γκαλερί PowerShell της

Microsoft

. Όπως υποδηλώνει το όνομα, το PowerShell Gallery ή το PSGallery είναι ένα αποθετήριο που περιέχει σενάρια, λειτουργικές μονάδες και πόρους Desired State Configuration (DSC).

Η AquaSec εξηγεί στην έκθεσή της ότι υπάρχουν τρία μεγάλα ελαττώματα στο PSGallery, με επίκεντρο την εξαπάτηση και την πλαστογραφία. Ωστόσο, το εκπληκτικό με το θέμα είναι ότι η Microsoft προφανώς γνώριζε το ζήτημα εδώ και πολύ καιρό και δεν έχει ακόμη εφαρμόσει καμία επιδιόρθωση. Η AquaSec αναφέρει:

Παρά την αναφορά των ελαττωμάτων στο Κέντρο απόκρισης ασφαλείας της Microsoft σε δύο ξεχωριστές περιπτώσεις, με επιβεβαίωση της αναφερόμενης συμπεριφοράς και ισχυρισμούς για συνεχιζόμενες επιδιορθώσεις, από τον Αύγουστο του

2023

, τα ζητήματα παραμένουν αναπαραγώγιμα, υποδεικνύοντας ότι δεν έχουν πραγματοποιηθεί απτές αλλαγές.

Για να μας δώσει μια καλύτερη ιδέα για το τι σήμαινε, η AquaSec δημοσίευσε επίσης ολόκληρο το χρονοδιάγραμμα

αποκάλυψη

ς ευπάθειας που υποδηλώνει ότι ο τεχνολογικός γίγαντας γνώριζε το ζήτημα από τον Σεπτέμβριο του περασμένου έτους. Στην πραγματικότητα, τον Μάρτιο του 2023, η Microsoft φαινομενικά επιβεβαίωσε ότι οι «αντιδραστικές διορθώσεις» είχαν κυκλοφορήσει.

Χρονοδιάγραμμα αποκάλυψης

• 27 Σεπτεμβρίου
  
  2022
  
  – Η ομάδα Aqua Research ανέφερε ελαττώματα στο MSRC.
• 20 Οκτωβρίου 2022 – Το MSRC επιβεβαίωσε τη συμπεριφορά που αναφέραμε.
• 2 Νοεμβρίου 2022 – Η MSRC δήλωσε ότι το ζήτημα έχει επιδιορθωθεί (δεν μπορεί να παρέχει λεπτομέρειες για επιδιορθώσεις προϊόντων στις Ηλεκτρονικές Υπηρεσίες).
• 26 Δεκεμβρίου 2022 – Αναπαράγαμε τα ελαττώματα (χωρίς πρόληψη).
• 03 Ιανουαρίου 2023 – Η ομάδα Aqua Research άνοιξε ξανά την αναφορά σχετικά με τα ελαττώματα του MSRC.
• 03 Ιανουαρίου 2023 – Το MSRC επιβεβαίωσε τη συμπεριφορά που αναφέραμε.
• 10 Ιανουαρίου 2023 – Το MSRC επισήμανε την αναφορά ως Επιλυθείσα.
• 15 Ιανουαρίου 2023 – Η MSRC απάντησε, “Η ομάδα μηχανικών εξακολουθεί να εργάζεται για την επιδιόρθωση της πλαστογράφησης του Typosquatting και των λεπτομερειών συσκευασίας. Αυτήν τη στιγμή έχουμε μια βραχυπρόθεσμη λύση για νέες ενότητες που δημοσιεύονται στο PSGallery”.
• 07 Μαρτίου 2023 – Το MSRC απάντησε, “Έχουν τεθεί σε εφαρμογή αντιδραστικές διορθώσεις”.
• 16 Αυγούστου 2023 – Τα ελαττώματα εξακολουθούν να αναπαράγονται.

Ερχόμενος τώρα στα ίδια τα ελαττώματα ασφαλείας, το AquaSec διαπίστωσε ότι τα πακέτα του PowerShell Gallery ήταν επιρρεπή σε ζητήματα τυπογραφικής κατακράτησης, που είναι, στην ουσία, η εκμετάλλευση ενός εσφαλμένου πληκτρολογίου από ένα πιθανό θύμα. Η ερευνητική ομάδα απειλών βρήκε επίσης στοιχεία για περισσότερη πλαστογράφηση μέσω της πλαστογράφησης μεταδεδομένων της ενότητας. Τέλος, η AquaSec ανακάλυψε επίσης ότι εκτίθενται και μη καταχωρισμένα πακέτα.

Μπορείτε να βρείτε όλες τις τεχνικές λεπτομέρειες για κάθε ένα από τα θέματα σε αυτό

ανάρτηση

με τίτλο “PowerHell” στον ιστότοπο της AquaSec.