Les failles actives de PowerShell Gallery pourraient être militarisées par des acteurs de la menace pour lancer des attaques de la chaîne d’approvisionnement contre les utilisateurs du registre.
« Ces failles rendent les attaques de typosquattage inévitables dans ce registre, tout en rendant extrêmement difficile pour les utilisateurs d’identifier le véritable propriétaire d’un paquet », ont déclaré les chercheurs en sécurité Aqua Mor Weinberger, Yakir Kadkoda et Ilay Goldman dans un rapport partagé avec The Hacker News. .
Géré par Microsoft, PowerShell Gallery est un référentiel central pour le partage et l’acquisition de code PowerShell, y compris les modules PowerShell, les scripts et les ressources DSC (Desired State Configuration). Le registre compte 11 829 packages uniques et 244 615 packages au total.
Les problèmes identifiés par la société de sécurité cloud sont liés à la politique laxiste du service concernant les noms de packages, au manque de protections contre les attaques de typosquattage, ce qui permet aux attaquants de télécharger des modules PowerShell malveillants qui semblent authentiques aux utilisateurs sans méfiance.
Un deuxième défaut concerne la capacité d’un acteur malveillant à usurper les métadonnées d’un module – y compris les champs Auteur(s), Copyright et Description – pour le faire apparaître plus légitime, incitant ainsi les utilisateurs involontaires à les installer.
« Le seul moyen pour les utilisateurs de déterminer le véritable auteur/propriétaire est d’ouvrir l’onglet » Détails du package « », ont déclaré les chercheurs.
« Cependant, cela ne les mènera qu’au profil du faux auteur, car l’attaquant peut librement choisir n’importe quel nom lors de la création d’un utilisateur dans la galerie PowerShell. Par conséquent, déterminer l’auteur réel d’un module PowerShell dans la galerie PowerShell pose un défi. tâche. »
Une troisième faille a également été découverte qui pourrait être exploitée par des attaquants pour énumérer tous les noms et versions de packages, y compris ceux qui ne sont pas répertoriés et destinés à être cachés à la vue du public.
Cela peut être accompli en utilisant l’API PowerShell « https://www.powershellgallery.com/api/v2/Packages?$skip=number », permettant à un attaquant d’obtenir un accès illimité à la base de données complète des packages PowerShell, y compris les versions associées.
« Cet accès incontrôlé offre aux acteurs malveillants la possibilité de rechercher des informations potentiellement sensibles dans des packages non répertoriés. Par conséquent, tout package non répertorié contenant des données confidentielles devient très susceptible d’être compromis », ont expliqué les chercheurs.
Aqua a déclaré avoir signalé les lacunes à Microsoft en septembre 2022, à la suite de quoi le fabricant de Windows aurait mis en place des correctifs réactifs à partir du 7 mars 2023. Les problèmes restent cependant reproductibles.
« Alors que nous dépendons de plus en plus des projets et des registres open source, les risques de sécurité qui leur sont associés deviennent plus importants », ont conclu les chercheurs.
« La responsabilité de la sécurisation des utilisateurs incombe principalement à la plate-forme. Il est essentiel que PowerShell Gallery et les plates-formes similaires prennent les mesures nécessaires pour améliorer leurs mesures de sécurité. »
