Aqua Research
Sikkerhetsselskapet Aqua Research sier de gjentatte ganger har advart Microsoft mot tre store hull, men at selskapet fremdeles ikke har rettet feilene. Bilde: Aqua Research

Annonse


Uenige med Microsoft: “Alvorlige feil ikke rettet”

Trond Bie·

Microsoft “PowerShell Gallery” inneholder scripts og moduler, men også alvorlige sikkerhetshull ifølge Aqua Research.

Microsoft sier de har rettet feilene – sikkerhetsselskapet sier de ikke har gjort noe

Sikkerhetsselskapet har funnet tre store feil. Ok, så et sikkerhetsselskap finner feil i programvare, det er ikke akkurat banebrytende. Mer pikant er det at Microsoft har visst om problemet i lang tid, men har ikke klart å rette det per selskapet. Enda merkeligere er det at Microsoft i mars i år meldte at de hadde rettet feilen, men per 16. august denne uken stemmer ikke det heller da Aqua sier de fremdeles kan reprodusere feilen.

PowerShell Gallery-moduler brukes ofte som en del av skydistribusjons-prosessen og er ekstra populær for AWS og Azure der systemet brukes for å samhandle med og administrere sky-ressurser. Derfor kan installasjonen av en ondsinnet modul være dødelig for organisasjoner.

Aqua Research

Videre forklare sikkerhets-ekspertene at “dessuten kan angripere utnytte en annen feil, slik at de kan oppdage uoppførte pakker og avdekke slettede hemmeligheter i registeret, som brukere forsøker å skjule ved å fjerne pakkene sine.” Aqua Research sier de kan bekrefte at feilene kan reproduseres i august 2023, noe som per dem “indikerer at ingen konkrete endringer er utført.”

Såpass komplisert er tidslinjen at Aqua Research har oppsummert det hele:

  • 27. september 2022: Aqua informerte MSRC (“Microsoft Security Response Center”.)
  • 20. oktober 2022: MSRC bekreftet de mottok rapporten.
  • 2. november 2022: MSRC meldte at feilen har blitt rettet, men ga ingen detaljer.
  • 26. desember 2022: Vi reproduserte feilene.
  • 3. januar 2023: Aqua-teamet gjenåpnet saken og rapporterte det til MSRC.
  • 3. januar 2023: MSRC bekreftet hendelsene vi rapporterte.
  • 10. januar 2023: MSRC merket rapporten som rettet.
  • 15. januar 2023: MSRC svarte: “Ingeniørteamet jobber fortsatt med å fikse “Typosquatting” og “pakkedetaljforfalskning”-feilene. Vi har for øyeblikket en kortsiktig løsning på plass for nye moduler publisert til PSGallery.”
  • 7. mars 2023: MSRC svarte: “Reaktive rettelser er på plass.”
  • 16. august 2023: Feilene kan fremdeles reproduseres.

Annonse