[English]Sicherheitsforscher von Aqua Security sind vor einiger Zeit auf mehrere Schwachstellen in Microsofts PowerShell-Galerie gestoßen. Die Schwachstellen wurden dann an Redmond gemeldet, wo dass vergeblich versucht wurde, die Bugs mit Patchen zu beseitigen. Nun sind die Sicherheitsforscher vor einigen Tagen mit einem Bericht über diesen Sachverhalt an die Öffentlichkeit gegangen, um vor diesen Schwachstellen zu warnen.
Anzeige
Was ist die PowerShell Gallery
Die PowerShell Gallery (deutsch PowerShell Katalog) ist das zentrale Repository für PowerShell-Inhalte. Administratoren finden darin PowerShell-Skripte sowie Module, die PowerShell-Cmdlets und Desired State Configuration-Ressourcen (DSC) enthalten. Einige dieser Pakete wurden von Microsoft erstellt, andere stammen aus der PowerShell-Community.
Das Modul PowerShellGet enthält Cmdlets zum Ermitteln, Installieren, Aktualisieren und Veröffentlichen von PowerShell-Paketen aus der PowerShell-Galerie. Diese Pakete können Artefakte wie Module, DSC-Ressourcen, Rollenfähigkeiten und Skripts enthalten. Dazu sollte die neueste Version von PowerShellGet installiert sein. Die Dokumentation von PowerShellGet und der PowerShell-Galerie findet sich hier.
Seit Monaten ungefixte Schwachstellen
PowerShell Gallery-Module werden häufig als Teil des Cloud-Bereitstellungsprozesses verwendet, besonders beliebt bei AWS und Azure, um mit Cloud-Ressourcen zu interagieren und diese zu verwalten. Daher könnte die Installation eines bösartigen Moduls für Unternehmen fatal sein. Und genau das ist das Thema, was von Sicherheitsforschern offen gelegt wurde. Ich bin über verschieden Medien auf das Thema aufmerksam geworden, welches von Aqua Security in nachfolgendem Tweet unter dem Begriff "PowerHell" adressiert und im Blog-Beitrag PowerHell: Active Flaws in PowerShell Gallery Expose Users to Attacks dokumentiert wird.
Anzeige
Mehrere Schwachstellen
Im Beitrag heißt es, dass von Aqua Nautilus erhebliche Fehler aufgedeckt wurden, die immer noch in der Richtlinie der PowerShell-Galerie in Bezug auf Paketnamen und -besitzer aktiv sind. Diese Schwachstellen ermöglichen sogenannte Typosquatting-Angriffe in dieser Registrierung von Paketen (also leichte Änderungen der Paketnamen). Das erschwert es den Benutzern, den wahren Eigentümer eines Pakets zu identifizieren. In der Folge ebnen diese Schwachstellen den Weg für potenzielle Supply-Chain-Angriffe.
Darüber hinaus können Angreifer eine zweite Schwachstelle ausnutze. Diese ermöglicht es, nicht aufgelistete Pakete zu entdecken und gelöschte (vertrauliche Informationen) in der Registrierung der PowerShell Gallery aufzudecken. Dieser Mechanismus wird verwendet, wenn Benutzer ihre Module verbergen möchten, indem sie ihre Pakete nicht auflisten. Eine dritte Schwachstelle ermöglicht gefälschte Modul-Metadaten in der PowerShell-Galerie einzustellen. Details sind im verlinkten Beitrag nachlesbar.
Proof of Concept entwickelt
Diese Erkenntnisse ermöglichten es den Sicherheitsforschern einen Proof of Concept (POC) zu erstellen und dann beliebte Microsoft PowerShell-Module durch eigenen, manipulierten Code zu imitieren. Diese gefälschten Module wurden dann von verschiedenen Organisationen millionenfach aus der PowerShell Gallery über eine Reihe von Cloud-Diensten heruntergeladen.
Schwachstellen durch Microsoft ungefixt
Und nun kommen wir zum unerquicklichen Teil der Geschichte. Die Sicherheitsforscher haben die gefundenen Schwachstellen natürlich an Microsoft gemeldet. Microsoft hat das gemeldete Verhalten bezüglich der Schwachstellen bestätigt und sogar deren Behebung in Aussicht gestellt. Nun schreiben die Sicherheitsforscher: Obwohl die Schwachstellen dem Microsoft Security Response Center bei zwei verschiedenen Gelegenheiten gemeldet wurden, sind die Probleme bis August 2023 weiterhin reproduzierbar. Das deutet nach Ansicht der Sicherheitsforscher darauf hin, dass von Microsoft keine konkreten bzw. hinreichenden Änderungen vorgenommen.
Das liest sich für mich wie der Fall der Monate ungepatchten Azure-Schwachstellen, den ich im Beitrag Sicherheitsrisiko Microsoft? Azure-Schwachstelle seit März 2023 ungepatcht, schwere Kritik von Tenable – Teil 2 aufgegriffen hatte. Diese wurde nach öffentlicher Kritik dann im August 2023 zeitnah geschlossen.
Ähnliche Artikel:
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsofts Cloud-Hack: Überprüfung durch US Cyber Safety Review Board
Microsoft Cloud-Hack durch Storm-0588: US-Senatoren unter den Opfern; Prüfpflicht für europäische Verantwortliche
Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit – Teil 1
Sicherheitsrisiko Microsoft? Azure-Schwachstelle seit März 2023 ungepatcht, schwere Kritik von Tenable – Teil 2
PowerHell: Achtung, ungefixte Schwachstellen in der PowerShell-Galerie – Teil 3
Anzeige
Seufz
Der nächste Kernschrott – und die Jubelperser um Bernd und 1ST1 werden wieder Gründe finden, warum MS ach so toll ist….