AquaSec (Aqua Security)的安全研究员团队发布了一份报告,其中强调了目前存在于微软 PowerShell Gallery 中的一系列重大安全漏洞。顾名思义,PowerShell Gallery 或 PSGallery 是一个包含脚本、模块和期望状态配置 (DSC) 资源的存储库。
AquaSec 在报告中解释说,PSGallery 存在三大缺陷,主要是欺骗和伪造。但令人吃惊的是,微软显然很早就意识到了这个问题,但至今仍未采取任何修复措施。AquaSec 指出:
尽管微软安全响应中心两次报告了这些漏洞,并确认了报告的行为,还声称正在进行修复,但截至 2023 年 8 月,这些问题仍可重现,表明没有实施任何实际的更改。
为了让我们更好地理解它的含义,AquaSec 还公布了整个漏洞披露时间表,表明这家科技巨头从去年 9 月起就已经意识到了这个问题。事实上,在 2023 年 3 月,微软似乎就已经确认了"被动修复"。
披露时间表
- 2022 年 9 月 27 日 - Aqua 研究团队向 MSRC 报告缺陷。
- 2022 年 10 月 20 日 - MSRC 确认了我们报告的行为。
- 2022 年 11 月 2 日 - MSRC 表示问题已得到修复(无法在在线服务中提供产品修复的详细信息)。
- 2022 年 12 月 26 日 - 我们重现了缺陷(无法预防)。
- 2023 年 1 月 3 日 - Aqua 研究团队重新启动了有关 MSRC 缺陷的报告。
- 2023 年 1 月 3 日 - MSRC 确认了我们报告的行为。
- 2023 年 1 月 10 日 - MSRC 将报告标记为已解决。
- 2023 年 1 月 15 日 - MSRC 回应说:"工程团队仍在努力修复错别字和软件包细节欺骗问题。对于发布到 PSGallery 的新模块,我们目前有一个短期解决方案"。
- 2023 年 3 月 7 日 - MSRC 回应:"反应性修复已到位"。
- 2023 年 8 月 16 日 - 漏洞仍可重现。
说到安全漏洞本身,AquaSec 发现 PowerShell Gallery 软件包很容易出现错别字问题,本质上就是潜在受害者利用错别字。威胁研究小组还发现了更多通过伪造模块元数据进行欺骗的证据。最后,AquaSec 还发现未列出的软件包也被暴露了。
您可以在 AquaSec 网站上题为"PowerHell"的博文中找到每个问题的所有技术细节:
https://blog.aquasec.com/powerhell-active-flaws-in-powershell-gallery-expose-users-to-attacks
