PowerShell 多个漏洞可引发供应链攻击，微软说修了但仍可复现？！

THN 代码卫士 2023-08-18 18:20

聚焦源代码安全，网罗国内外最新资讯！****

编译：代码卫士

PowerShell Gallery 中存在多个漏洞，可触发针对注册表用户的供应链攻击。

Aqua 安全公司的研究员 Mor Weinberger、Yakir Kadkoda和 IIay Goldman 在报告中表示，“这些漏洞导致该注册表中的 typosquatting 攻击的发生不可避免，同时导致用户极其难以识别出程序包的真正所有者。”

PowerShell Gallary 由微软公司维护，是用于分享和获取 PowerShell 代码如 PowerShell 模块、脚本和 DSC 资源的中央仓库。该注册表拥有11,829个唯一报和244,615个程序包。

这些漏洞与该服务对程序包名称的策略不严格有关，缺乏对于 typosquatting 攻击的防御措施，从而导致攻击者上传毫不知情用户认为合法但实际却使恶意的 PowerShell 模块。

Typosquatting 是一种经过检验的感染向量，攻击者通过发布名称类似于通过仓库发布的热门和合法模块类似的包而投毒开源软件生态系统。

第二个缺陷可导致恶意人员嗅探模块的元数据，包括作者、版权和描述字段，使其看似更加合法，从而诱骗不知情用户安装。研究人员支出，“用户判断作者/所有者的唯一方式是打开 ‘Package Details’ 标签。然而，这只会导致用户打开虚假作者的资料，因为攻击者在 PowerShell Gallery 中创建用户时刻自由选择任何名称。因此，判断 PowerShell Gallery 中PowerShell 模块的真正用户是一项艰巨任务。”

第三个漏洞可被滥用于枚举所有的包名称和吧按本，包括未列出的以及无法被公开发现的情况。攻击者可利用 PowerShell API “ https://www.powershellgallery.com/api/v2/Packages?$skip=number”，可导致攻击者获得对完整 PowerShell 包数据库（包括关联版本等）无限制访问权限。

研究人员解释称，“这种不受限制的访问权限可导致恶意人员在未列出程序包中搜索潜在敏感信息，任何未列出的包含敏感数据的程序包都非常容易被攻陷。”

Aqua 公司提到，已在2022年9月将这些弱点告知微软，后者表示在2023年3月7日已推出补丁。然而，这些问题仍然可复现。

研究人员表示，“随着我们对开源项目和注册表的依赖越来越强，与之关联的安全风险也愈加突出。保护用户的责任主要在平台。PowerShell Gallery 以及类似平台有必要采取措施增强其安全性。”

代码卫士试用地址：
https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

在线阅读版：《2023中国软件供应链安全分析报告》全文

奇安信发布《2023中国软件供应链安全分析报告》开源软件供应链的系统化安全治理需加速落地

奇安信入选全球《静态应用安全测试全景图》代表厂商

奇安信入选全球《软件成分分析全景图》代表厂商

恶意npm包提取开发人员的敏感数据

NPM生态系统易受 Manifest 混淆攻击

npm 生态系统遭唯一执行链攻击

NPM恶意中暗藏恶意软件 TurkoRat

黑客在 NPM 中注入恶意包，发动 DoS 攻击

原文链接

https://thehackernews.com/2023/08/experts-uncover-weaknesses-in.html

题图：
Pixabay
 License

---

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错，就点个 “
在看
” 或 “
赞
” 吧~