Especialistas descobrem pontos fracos na Galeria do PowerShell

Da Redação
16/08/2023

Falhas ativas na Galeria do PowerShell podem ser armadas por operadores de ameaças para realizar ataques à cadeia de suprimentos contra os usuários do repositório. “Essas falhas tornam os ataques de typosquatting [sequestro de URL] inevitáveis no repositório, além de tornar extremamente difícil para os usuários identificar o verdadeiro proprietário de um pacote”, disseram os pesquisadores de segurança da Aqua Mor Weinberger, Yakir Kadkoda e Ilay Goldman em um relatório compartilhado com o site The Hacker News.

Mantido pela Microsoft, o PowerShell Gallery é um repositório central para compartilhamento e aquisição de código do PowerShell, incluindo módulos, scripts e recursos do Desired State Configuration (DSC) do PowerShell. O registro possui 11.829 pacotes exclusivos e 244.615 pacotes no total.

Os problemas identificados pela empresa de segurança em nuvem têm a ver com a política negligente do serviço em relação aos nomes dos pacotes, falta de proteção contra ataques de typosquatting, permitindo que invasores carreguem módulos maliciosos do PowerShell que parecem genuínos para usuários desavisados.

Uma segunda falha refere-se à capacidade de um operador de ameaças falsificar os metadados de um módulo  — incluindo os campos autor(es), copyright e descrição  — para torná-lo mais legítimo, enganando assim usuários involuntários para instalá-los.

“A única maneira de os usuários determinarem o verdadeiro autor/proprietário é abrir a guia ‘Detalhes do pacote'”, disseram os pesquisadores. “No entanto, isso só os levará ao perfil do autor falso, pois o invasor pode escolher livremente qualquer nome ao criar um usuário na Galeria do PowerShell. Portanto, determinar o autor real de um módulo do PowerShell na Galeria do PowerShell representa uma tarefa desafiadora.”

Veja isso
Nova backdoor do PowerShell se disfarça de patch do Windows
Grupo hacker ligado ao Irã usa novo malware PowerShell

Também foi descoberta uma terceira falha que pode ser abusada por invasores para enumerar todos os nomes e versões de pacotes, incluindo aqueles que não estão listados e devem ser ocultados da visão pública. Isso pode ser feito utilizando a API do PowerShell “https://www.powershellgallery.com/api/v2/Packages?$skip=number”, o que permitindo que um invasor obtenha acesso irrestrito ao banco de dados completo do pacote do PowerShell, incluindo versões associadas.

“Esse acesso não controlado fornece aos operadores de ameaças capacidade de procurar possíveis informações confidenciais em pacotes não listados. Consequentemente, qualquer pacote não listado que contenha dados confidenciais torna-se altamente suscetível a comprometimento”, explicaram os pesquisadores.

A Aqua disse que relatou as deficiências à Microsoft em setembro do ano passado, após o que o fabricante do Windows teria implementado correções reativas em 7 de março deste ano. Os problemas, no entanto, permanecem reproduzíveis. “Como dependemos cada vez mais de projetos e registros de código aberto, os riscos de segurança associados a eles se tornam mais proeminentes”, concluíram os pesquisadores.

Compartilhar: