Мастер-класс по «откладыванию на потом»: Microsoft год борется с уязвимостями в PowerShell Gallery

Специалисты AquaSec (Aqua Security) выявили серьезные проблемы безопасности в работе открытого партнерского сервиса и хранилища для обмена исходными кодами для работы в PowerShell под названием PowerShell Gallery . Разработчики из Microsoft осведомлены об этой ситуации. Они уже почти год не могут устранить проблемы с безопасностью на платформе, которые ИБ-исследователи описали в своем подробном техническом отчете PowerHell.

PowerShell Gallery представляет собой хранилище пакетов для PowerShell, включающее в себя скрипты, модули и ресурсы Desired State Configuration (DSC), предназначенные для использования опытными пользователями и системными администраторами в своих системах.

Специалисты AquaSec обнаружили, что в PowerShell Gallery по-прежнему есть некоторое количество пакетов, в которых авторы используют проблему опечаток в названии (Typosquatting), чтобы мимикрировать под популярные пакеты. Исследователи также нашли свидетельства новых методов спуфинга посредством подделки метаданных модулей и установили, что код в незарегистрированных пакетах может поставить под угрозу систему, если он будет запущен пользователями под административными правами.

Ранее эксперты AquaSec неоднократно отправляли отчеты по уязвимостям в службу поддержки Microsoft Security Response Center (MSRC), но там предпринимались только поверхностные попытки устранить проблемы на платформе PowerShell Gallery. Трижды разработчики из Microsoft выпускали обновления безопасности для платформы и закрывали запросы от AquaSec. После этого в AquaSec снова воспроизводили уязвимости и переоткрывали тикеты. В результате за год никаких существенных доработок безопасности в MSRC в PowerShell Gallery не сделали.

AquaSec призывает всех пользователей и системных администраторов проявлять осторожность при загрузке модулей и скриптов из PowerShell Gallery для обеспечения безопасности своих систем.