专家发现PowerShell Gallery中导致供应链攻击的弱点

PowerShell Gallery 中的活跃缺陷可能会被威胁行为者利用，对注册表用户发起供应链攻击。

Aqua 安全研究人员 Mor Weinberger、Yakir Kadkoda 和 Ilay Goldman 在与 The Hacker News 分享的一份报告中表示：“这些缺陷使得该注册表中的误植攻击不可避免，同时也使用户很难识别软件包的真正所有者。”。

PowerShell Gallery由 Microsoft 维护，是一个用于共享和获取 PowerShell 代码的中央存储库，其中包括 PowerShell 模块、脚本和所需状态配置 (DSC) 资源。该注册表拥有 11,829 个独特的软件包，总共 244,615 个软件包。

云安全公司发现的问题与该服务围绕包名称的宽松政策有关，缺乏针对拼写错误攻击的保护，从而使攻击者能够上传对毫无戒心的用户来说看似真实的恶意 PowerShell 模块。

第二个缺陷与不良行为者欺骗模块的元数据（包括作者、版权和描述字段）的能力有关，使其看起来更合法，从而欺骗不知情的用户安装它们。

研究人员说：“用户确定真正的作者/所有者的唯一方法是打开‘包详细信息’选项卡。”

“然而，这只会引导他们找到假作者的个人资料，因为攻击者在 PowerShell 库中创建用户时可以自由选择任何名称。因此，确定 PowerShell 库中 PowerShell 模块的实际作者具有挑战性。任务。”

还发现了第三个缺陷，攻击者可能会滥用该缺陷来枚举所有软件包名称和版本，包括那些未列出且旨在隐藏在公众视野之外的软件包名称和版本。

这可以通过利用 PowerShell API“https://www.powershellgallery.com/api/v2/Packages?$skip=number”来实现，使攻击者能够不受限制地访问完整的 PowerShell 包数据库，包括相关版本。

研究人员解释说：“这种不受控制的访问使恶意行为者能够在未列出的软件包中搜索潜在的敏感信息。因此，任何包含机密数据的未列出的软件包都非常容易受到损害。”

Aqua 表示，它于 2022 年 9 月向微软报告了这些缺陷，据称该 Windows 制造商已于 2023 年 3 月 7 日实施了反应性修复。不过，这些问题仍然可以重现。

研究人员总结道：“随着我们越来越依赖开源项目和注册表，与之相关的安全风险变得更加突出。”

“保护用户安全的责任主要在于平台。PowerShell Gallery 和类似平台必须采取必要的措施来增强其安全措施。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/7762.html