Microsoft “PowerShell Gallery” inneholder scripts og moduler, men også alvorlige sikkerhetshull ifølge Aqua Research.
Microsoft sier de har rettet feilene – sikkerhetsselskapet sier de ikke har gjort noe
Sikkerhetsselskapet har funnet tre store feil. Ok, så et sikkerhetsselskap finner feil i programvare, det er ikke akkurat banebrytende. Mer pikant er det at Microsoft har visst om problemet i lang tid, men har ikke klart å rette det per selskapet. Enda merkeligere er det at Microsoft i mars i år meldte at de hadde rettet feilen, men per 16. august denne uken stemmer ikke det heller da Aqua sier de fremdeles kan reprodusere feilen.
PowerShell Gallery-moduler brukes ofte som en del av skydistribusjons-prosessen og er ekstra populær for AWS og Azure der systemet brukes for å samhandle med og administrere sky-ressurser. Derfor kan installasjonen av en ondsinnet modul være dødelig for organisasjoner.
Aqua Research
Videre forklare sikkerhets-ekspertene at “dessuten kan angripere utnytte en annen feil, slik at de kan oppdage uoppførte pakker og avdekke slettede hemmeligheter i registeret, som brukere forsøker å skjule ved å fjerne pakkene sine.” Aqua Research sier de kan bekrefte at feilene kan reproduseres i august 2023, noe som per dem “indikerer at ingen konkrete endringer er utført.”
Såpass komplisert er tidslinjen at Aqua Research har oppsummert det hele:
- 27. september 2022: Aqua informerte MSRC (“Microsoft Security Response Center”.)
- 20. oktober 2022: MSRC bekreftet de mottok rapporten.
- 2. november 2022: MSRC meldte at feilen har blitt rettet, men ga ingen detaljer.
- 26. desember 2022: Vi reproduserte feilene.
- 3. januar 2023: Aqua-teamet gjenåpnet saken og rapporterte det til MSRC.
- 3. januar 2023: MSRC bekreftet hendelsene vi rapporterte.
- 10. januar 2023: MSRC merket rapporten som rettet.
- 15. januar 2023: MSRC svarte: “Ingeniørteamet jobber fortsatt med å fikse “Typosquatting” og “pakkedetaljforfalskning”-feilene. Vi har for øyeblikket en kortsiktig løsning på plass for nye moduler publisert til PSGallery.”
- 7. mars 2023: MSRC svarte: “Reaktive rettelser er på plass.”
- 16. august 2023: Feilene kan fremdeles reproduseres.
Annonse