Los actores de amenazas podrían utilizar las fallas activas en la Galería de PowerShell para llevar a cabo ataques en la cadena de suministro contra los usuarios del registro.
«Estas fallas hacen que los ataques de error tipográfico sean inevitables en este registro, al mismo tiempo que dificultan extremadamente que los usuarios identifiquen al verdadero propietario de un paquete», dijeron los investigadores de seguridad de Aqua Mor Weinberger, Yakir Kadkoda e Ilay Goldman en un informe compartido con The Hacker News . .
Mantenido por Microsoft, PowerShell Gallery es un repositorio central para compartir y adquirir código de PowerShell, incluidos módulos, scripts y recursos de configuración de estado deseado (DSC) de PowerShell. El registro cuenta con 11.829 paquetes únicos y 244.615 paquetes en total.
Los problemas identificados por la empresa de seguridad en la nube tienen que ver con la política laxa del servicio en torno a los nombres de los paquetes, que carece de protección contra los ataques de error tipográfico, lo que permite a los atacantes cargar módulos de PowerShell maliciosos que parecen genuinos para los usuarios desprevenidos.
Una segunda falla se refiere a la capacidad de un mal actor para falsificar los metadatos de un módulo, incluidos los campos Autor (es), Copyright y Descripción, para que parezca más legítimo, engañando así a los usuarios involuntarios para que los instalen.
«La única forma en que los usuarios pueden determinar el verdadero autor/propietario es abrir la pestaña ‘Detalles del paquete'», dijeron los investigadores.
«Sin embargo, esto solo los conducirá al perfil del autor falso, ya que el atacante puede elegir libremente cualquier nombre al crear un usuario en la Galería de PowerShell. Por lo tanto, determinar el autor real de un módulo de PowerShell en la Galería de PowerShell plantea un desafío. tarea.»
También se descubrió una tercera falla que los atacantes podrían abusar para enumerar todos los nombres y versiones de los paquetes, incluidos aquellos que no están en la lista y están destinados a ocultarse a la vista del público.
Esto se puede lograr utilizando la API de PowerShell «https://www.powershellgallery.com/api/v2/Packages?$skip=number», lo que permite que un atacante obtenga acceso sin restricciones a la base de datos completa del paquete de PowerShell, incluidas las versiones asociadas.
«Este acceso no controlado brinda a los actores maliciosos la capacidad de buscar información confidencial potencial dentro de paquetes no listados. En consecuencia, cualquier paquete no listado que contenga datos confidenciales se vuelve altamente susceptible de ser comprometido», explicaron los investigadores.
Aqua dijo que informó las deficiencias a Microsoft en septiembre de 2022, luego de lo cual se dice que el fabricante de Windows implementó soluciones reactivas a partir del 7 de marzo de 2023. Sin embargo, los problemas siguen siendo reproducibles.
«A medida que dependemos cada vez más de proyectos y registros de código abierto, los riesgos de seguridad asociados con ellos se vuelven más prominentes», concluyeron los investigadores.
«La responsabilidad de proteger a los usuarios recae principalmente en la plataforma. Es esencial que PowerShell Gallery y plataformas similares tomen las medidas necesarias para mejorar sus medidas de seguridad».
Fuente y redacción: thehackernews.com
