关键词
安全漏洞
研究人员表示,PowerShell Gallery存在的活动性缺陷可能被威胁行为者利用来对注册表的用户进行供应链攻击。这些缺陷使得在该注册表中不可避免地发生typosquatting攻击,并且使用户极难辨别软件包的真实所有者。由Aqua安全研究员Mor Weinberger、Yakir Kadkoda和Ilay Goldman在与The Hacker News共享的一份报告中指出。
PowerShell Gallery是由微软维护的一个中央仓库,用于共享和获取PowerShell代码,包括PowerShell模块、脚本和期望状态配置(DSC)资源。该注册表拥有11,829个独特的软件包和244,615个总软件包。
云安全公司发现的问题与服务在软件包名称方面的宽松政策有关,缺乏对typosquatting攻击的保护措施,因此使攻击者能够上传看似真实的恶意PowerShell模块,以欺骗毫无戒心的用户。第二个缺陷涉及恶意行为者伪造模块的元数据,包括作者、版权和描述字段,使其看起来更加合法,从而欺骗不知情的用户安装它们。
研究人员表示:“用户唯一确定真实作者/所有者的方法是打开‘Package Details’选项卡。”然而,“这只会将他们带到假作者的个人资料,因为攻击者在创建PowerShell Gallery用户时可以自由选择任何名称。因此,在PowerShell Gallery中确定PowerShell模块的实际作者是一个具有挑战性的任务。”
还发现了第三个缺陷,攻击者可以利用它来枚举所有软件包的名称和版本,包括那些未列出且意图隐藏的软件包。这可以通过使用PowerShell API "https://www.powershellgallery.com/api/v2/Packages?$skip=number"来实现,使攻击者能够无限制地访问完整的PowerShell软件包数据库,包括相关版本。
研究人员解释说:“这种不受控制的访问为恶意行为者提供了在未列出的软件包中搜索潜在敏感信息的能力。因此,任何包含机密数据的未列出软件包都极易受到威胁。”
Aqua表示已于2022年9月向微软报告了这些缺陷,据称截至2023年3月7日,Windows制造商已经采取了响应性修复措施。然而,问题仍然可复现。
研究人员总结道:“随着我们越来越依赖于开源项目和注册表,与其相关的安全风险变得更加突出。确保用户安全的责任主要应由平台承担。PowerShell Gallery和类似平台必须采取必要的措施来增强安全性。”
END
阅读推荐
【安全圈】几乎所有VPN都中招!这个漏洞潜伏了二十年终于被发现
安全圈
←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
原文始发于微信公众号(安全圈):【安全圈】PowerShell存在活动性缺陷,可被威胁者利用进行供应链攻击!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论