![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
[English]Sicherheitsforscher von Aqua Security sind vor einiger Zeit auf mehrere Schwachstellen in Microsofts PowerShell-Galerie gesto\u00dfen. Die Schwachstellen wurden dann an Redmond gemeldet, wo dass vergeblich versucht wurde, die Bugs mit Patchen zu beseitigen. Nun sind die Sicherheitsforscher vor einigen Tagen mit einem Bericht \u00fcber diesen Sachverhalt an die \u00d6ffentlichkeit gegangen, um vor diesen Schwachstellen zu warnen.<\/p>\n
<\/p>\n
Das Modul PowerShellGet <\/em>enth\u00e4lt Cmdlets zum Ermitteln, Installieren, Aktualisieren und Ver\u00f6ffentlichen von PowerShell-Paketen aus der PowerShell-Galerie. Diese Pakete k\u00f6nnen Artefakte wie Module, DSC-Ressourcen, Rollenf\u00e4higkeiten und Skripts enthalten. Dazu sollte die neueste Version von PowerShellGet installiert sein. Die Dokumentation von PowerShellGet<\/em> und der PowerShell-Galerie findet sich hier<\/a>.<\/p>\n PowerShell Gallery-Module werden h\u00e4ufig als Teil des Cloud-Bereitstellungsprozesses verwendet, besonders beliebt bei AWS und Azure, um mit Cloud-Ressourcen zu interagieren und diese zu verwalten. Daher k\u00f6nnte die Installation eines b\u00f6sartigen Moduls f\u00fcr Unternehmen fatal sein. Und genau das ist das Thema, was von Sicherheitsforschern offen gelegt wurde. Ich bin \u00fcber verschieden Medien auf das Thema aufmerksam geworden, welches von Aqua Security in nachfolgendem Tweet unter dem Begriff \"PowerHell\" adressiert und im Blog-Beitrag PowerHell: Active Flaws in PowerShell Gallery Expose Users to Attacks<\/a> dokumentiert wird.<\/p>\n Im Beitrag hei\u00dft es, dass von Aqua Nautilus erhebliche Fehler aufgedeckt wurden, die immer noch in der Richtlinie der PowerShell-Galerie in Bezug auf Paketnamen und -besitzer aktiv sind. Diese Schwachstellen erm\u00f6glichen sogenannte Typosquatting-Angriffe in dieser Registrierung von Paketen (also leichte \u00c4nderungen der Paketnamen). Das erschwert es den Benutzern, den wahren Eigent\u00fcmer eines Pakets zu identifizieren. In der Folge ebnen diese Schwachstellen den Weg f\u00fcr potenzielle Supply-Chain-Angriffe.<\/p>\n Dar\u00fcber hinaus k\u00f6nnen Angreifer eine zweite Schwachstelle ausnutze. Diese erm\u00f6glicht es, nicht aufgelistete Pakete zu entdecken und gel\u00f6schte (vertrauliche Informationen) in der Registrierung der PowerShell Gallery aufzudecken. Dieser Mechanismus wird verwendet, wenn Benutzer ihre Module verbergen m\u00f6chten, indem sie ihre Pakete nicht auflisten. Eine dritte Schwachstelle erm\u00f6glicht gef\u00e4lschte Modul-Metadaten in der PowerShell-Galerie einzustellen. Details sind im verlinkten Beitrag nachlesbar.<\/p>\n Diese Erkenntnisse erm\u00f6glichten es den Sicherheitsforschern einen Proof of Concept (POC) zu erstellen und dann beliebte Microsoft PowerShell-Module durch eigenen, manipulierten Code zu imitieren. Diese gef\u00e4lschten Module wurden dann von verschiedenen Organisationen millionenfach aus der PowerShell Gallery \u00fcber eine Reihe von Cloud-Diensten heruntergeladen.<\/p>\n Und nun kommen wir zum unerquicklichen Teil der Geschichte. Die Sicherheitsforscher haben die gefundenen Schwachstellen nat\u00fcrlich an Microsoft gemeldet. Microsoft hat das gemeldete Verhalten bez\u00fcglich der Schwachstellen best\u00e4tigt und sogar deren Behebung in Aussicht gestellt. Nun schreiben die Sicherheitsforscher: Obwohl die Schwachstellen dem Microsoft Security Response Center bei zwei verschiedenen Gelegenheiten gemeldet wurden, sind die Probleme bis August 2023 weiterhin reproduzierbar. Das deutet nach Ansicht der Sicherheitsforscher darauf hin, dass von Microsoft keine konkreten bzw. hinreichenden \u00c4nderungen vorgenommen.<\/p>\n Das liest sich f\u00fcr mich wie der Fall der Monate ungepatchten Azure-Schwachstellen, den ich im Beitrag Sicherheitsrisiko Microsoft? Azure-Schwachstelle seit M\u00e4rz 2023 ungepatcht, schwere Kritik von Tenable<\/a> \u2013 Teil 2 aufgegriffen hatte. Diese wurde nach \u00f6ffentlicher Kritik dann im August 2023 zeitnah geschlossen.<\/p>\n \u00c4hnliche Artikel:<\/strong> Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit<\/a> \u2013 Teil 1 [English]Sicherheitsforscher von Aqua Security sind vor einiger Zeit auf mehrere Schwachstellen in Microsofts PowerShell-Galerie gesto\u00dfen. Die Schwachstellen wurden dann an Redmond gemeldet, wo dass vergeblich versucht wurde, die Bugs mit Patchen zu beseitigen. Nun sind die Sicherheitsforscher vor einigen Tagen … Weiterlesen Die PowerShell Gallery<\/a> (deutsch PowerShell Katalog) ist das zentrale Repository f\u00fcr PowerShell-Inhalte. Administratoren finden darin PowerShell-Skripte sowie Module, die PowerShell-Cmdlets und Desired State Configuration-Ressourcen (DSC) enthalten. Einige dieser Pakete wurden von Microsoft erstellt, andere stammen aus der PowerShell-Community.<\/p>\n
Seit Monaten ungefixte Schwachstellen<\/h2>\n
![](\"https:\/\/i.postimg.cc\/rmfC994b\/image.png\")
<\/p>\nMehrere Schwachstellen<\/h3>\n
Proof of Concept entwickelt<\/h3>\n
Schwachstellen durch Microsoft ungefixt<\/h3>\n
\nChina-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a>
\nNachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln<\/a>
\nNach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit<\/a>
\nGAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a>
\nMicrosofts Cloud-Hack: \u00dcberpr\u00fcfung durch US Cyber Safety Review Board<\/a>
\nMicrosoft Cloud-Hack durch Storm-0588: US-Senatoren unter den Opfern; Pr\u00fcfpflicht f\u00fcr europ\u00e4ische Verantwortliche<\/a><\/p>\n
\nSicherheitsrisiko Microsoft? Azure-Schwachstelle seit M\u00e4rz 2023 ungepatcht, schwere Kritik von Tenable<\/a> \u2013 Teil 2
\nPowerHell: Achtung, ungefixte Schwachstellen in der PowerShell-Galerie<\/a> – Teil 3<\/p>\n","protected":false},"excerpt":{"rendered":"