Как стать автором
Обновить

Эксперты AquaSec раскрыли уязвимости безопасности в работе репозитория PowerShell Gallery, Microsoft год их исправляет

Время на прочтение2 мин
Количество просмотров740

Эксперты AquaSec (Aqua Security) обнаружили значительные уязвимости безопасности в работе открытого партнёрского сервиса и репозитория для обмена исходными кодами для работы в PowerShell под названием PowerShell Gallery. Разработчики из Microsoft в курсе этой ситуации. Они уже почти год не могут решить проблемы с безопасностью на платформе, которые ИБ-исследователи назвали в своём подробном техническом отчёте PowerHell.

PowerShell Gallery — это репозиторий пакетов для PowerShell, который содержит скрипты, модули и ресурсы Desired State Configuration (DSC), которые продвинутые пользователи и системные администраторы могут загружать и запускать в своих системах.

Эксперты AquaSec обнаружили, что в PowerShell Gallery до сих пор есть некоторое количество пакетов, в которых авторы используют проблему опечаток в названии (Typosquatting), чтобы мимикрировать под популярные пакеты. Также исследователи обнаружили доказательства новых способов спуфингов посредством подделки метаданных модулей и выяснили. что код в незарегистрированных пакетах может подвергнуть риску систему, если он будет запущен пользователями под административными правами.

Ранее специалисты AquaSec несколько раз передавали отчёты по уязвимостям в техподдержку Microsoft Security Response Center (MSRC), но там только делали вид, что пытались решить эти проблемы в PowerShell Gallery. Трижды разработчики из Microsoft выпускали обновления безопасности для платформы и закрывали тикеты от AquaSec. После этого в AquaSec снова воспроизводили уязвимости и переоткрывали тикеты. В итоге за год никаких кардинальных доработок безопасности в MSRC в PowerShell Gallery не внесли.

В AquaSec призывали всех пользователей и системных администраторов проявлять осторожность при загрузке модулей и скриптов из PowerShell Gallery для безопасности своих систем.

Теги:
Хабы:
Всего голосов 4: ↑4 и ↓0+4
Комментарии0

Другие новости

Истории

Работа

Ближайшие события

15 – 16 ноября
IT-конференция Merge Skolkovo
Москва
22 – 24 ноября
Хакатон «AgroCode Hack Genetics'24»
Онлайн
28 ноября
Конференция «TechRec: ITHR CAMPUS»
МоскваОнлайн
25 – 26 апреля
IT-конференция Merge Tatarstan 2025
Казань