PowerHell: Achtung, ungefixte Schwachstellen in der PowerShell-Galerie

Sicherheit (Pexels, allgemeine Nutzung)[English]Sicherheitsforscher von Aqua Security sind vor einiger Zeit auf mehrere Schwachstellen in Microsofts PowerShell-Galerie gestoßen. Die Schwachstellen wurden dann an Redmond gemeldet, wo dass vergeblich versucht wurde, die Bugs mit Patchen zu beseitigen. Nun sind die Sicherheitsforscher vor einigen Tagen mit einem Bericht über diesen Sachverhalt an die Öffentlichkeit gegangen, um vor diesen Schwachstellen zu warnen.


Anzeige

Was ist die PowerShell Gallery

Die PowerShell Gallery (deutsch PowerShell Katalog) ist das zentrale Repository für PowerShell-Inhalte. Administratoren finden darin PowerShell-Skripte sowie Module, die PowerShell-Cmdlets und Desired State Configuration-Ressourcen (DSC) enthalten. Einige dieser Pakete wurden von Microsoft erstellt, andere stammen aus der PowerShell-Community.

Das Modul PowerShellGet enthält Cmdlets zum Ermitteln, Installieren, Aktualisieren und Veröffentlichen von PowerShell-Paketen aus der PowerShell-Galerie. Diese Pakete können Artefakte wie Module, DSC-Ressourcen, Rollenfähigkeiten und Skripts enthalten. Dazu sollte die neueste Version von PowerShellGet installiert sein. Die Dokumentation von PowerShellGet und der PowerShell-Galerie findet sich hier.

Seit Monaten ungefixte Schwachstellen

PowerShell Gallery-Module werden häufig als Teil des Cloud-Bereitstellungsprozesses verwendet, besonders beliebt bei AWS und Azure, um mit Cloud-Ressourcen zu interagieren und diese zu verwalten. Daher könnte die Installation eines bösartigen Moduls für Unternehmen fatal sein. Und genau das ist das Thema, was von Sicherheitsforschern offen gelegt wurde. Ich bin über verschieden Medien auf das Thema aufmerksam geworden, welches von Aqua Security in nachfolgendem Tweet unter dem Begriff "PowerHell" adressiert und im Blog-Beitrag PowerHell: Active Flaws in PowerShell Gallery Expose Users to Attacks dokumentiert wird.

Mehrere Schwachstellen

Im Beitrag heißt es, dass von Aqua Nautilus erhebliche Fehler aufgedeckt wurden, die immer noch in der Richtlinie der PowerShell-Galerie in Bezug auf Paketnamen und -besitzer aktiv sind. Diese Schwachstellen ermöglichen sogenannte Typosquatting-Angriffe in dieser Registrierung von Paketen (also leichte Änderungen der Paketnamen). Das erschwert es den Benutzern, den wahren Eigentümer eines Pakets zu identifizieren. In der Folge ebnen diese Schwachstellen den Weg für potenzielle Supply-Chain-Angriffe.

Darüber hinaus können Angreifer eine zweite Schwachstelle ausnutze. Diese ermöglicht es, nicht aufgelistete Pakete zu entdecken und gelöschte (vertrauliche Informationen) in der Registrierung der PowerShell Gallery aufzudecken. Dieser Mechanismus wird verwendet, wenn Benutzer ihre Module verbergen möchten, indem sie ihre Pakete nicht auflisten. Eine dritte Schwachstelle ermöglicht gefälschte Modul-Metadaten in der PowerShell-Galerie einzustellen. Details sind im verlinkten Beitrag nachlesbar.

Proof of Concept entwickelt

Diese Erkenntnisse ermöglichten es den Sicherheitsforschern einen Proof of Concept (POC) zu erstellen und dann beliebte Microsoft PowerShell-Module durch eigenen, manipulierten Code zu imitieren. Diese gefälschten Module wurden dann von verschiedenen Organisationen millionenfach aus der PowerShell Gallery über eine Reihe von Cloud-Diensten heruntergeladen.

Schwachstellen durch Microsoft ungefixt

Und nun kommen wir zum unerquicklichen Teil der Geschichte. Die Sicherheitsforscher haben die gefundenen Schwachstellen natürlich an Microsoft gemeldet. Microsoft hat das gemeldete Verhalten bezüglich der Schwachstellen bestätigt und sogar deren Behebung in Aussicht gestellt. Nun schreiben die Sicherheitsforscher: Obwohl die Schwachstellen dem Microsoft Security Response Center bei zwei verschiedenen Gelegenheiten gemeldet wurden, sind die Probleme bis August 2023 weiterhin reproduzierbar. Das deutet nach Ansicht der Sicherheitsforscher darauf hin, dass von Microsoft keine konkreten bzw. hinreichenden Änderungen vorgenommen.


Anzeige

Das liest sich für mich wie der Fall der Monate ungepatchten Azure-Schwachstellen, den ich im Beitrag Sicherheitsrisiko Microsoft? Azure-Schwachstelle seit März 2023 ungepatcht, schwere Kritik von Tenable – Teil 2 aufgegriffen hatte. Diese wurde nach öffentlicher Kritik dann im August 2023 zeitnah geschlossen.

Ähnliche Artikel:
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsofts Cloud-Hack: Überprüfung durch US Cyber Safety Review Board
Microsoft Cloud-Hack durch Storm-0588: US-Senatoren unter den Opfern; Prüfpflicht für europäische Verantwortliche

Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit – Teil 1
Sicherheitsrisiko Microsoft? Azure-Schwachstelle seit März 2023 ungepatcht, schwere Kritik von Tenable – Teil 2
PowerHell: Achtung, ungefixte Schwachstellen in der PowerShell-Galerie – Teil 3


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu PowerHell: Achtung, ungefixte Schwachstellen in der PowerShell-Galerie

  1. Ottilius sagt:

    Der nächste Kernschrott – und die Jubelperser um Bernd und 1ST1 werden wieder Gründe finden, warum MS ach so toll ist….

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.