Het Microsoft-product PowerShell Gallery bevat kwetsbaarheden die supply chain attacks, spoofing en typosquatting attacks mogelijk maken. De kwetsbaarheden zijn ontstaan door het lakse naambeleid dat het product hanteert voor code repository.
PowerShell Gallery vormt een enorm populair code hosting-platform. Het platform draait volledig online en wordt onderhouden door Microsoft. Onderzoekers van AquaSec merkten op dat er het een en ander schort aan het naambeleid voor code respository.
Drie problemen
Gebruikers kunnen packages uploaden met een naam die bijna identiek is aan een al beschikbare package. Hackers kunnen het beleid misbruiken om kwaadaardige packages online te zetten die in naam bijna niet te onderscheiden zijn van legitieme packages. Dat is in feite typosquatting.
De mogelijkheid tot spoofing is een ander probleem. Hier nemen hackers gegevens zoals de auteursnaam over van legitieme projecten om hun eigen kwaadaardige packages legitiem te laten ogen. Dat zorgt voor problemen bij gebruikers die de packages downloaden, maar ook bij de persoon wiens naam ten onrechte als auteur wordt opgegeven. Het is wel mogelijk om te controleren via welk account de packages werden geüpload, maar daarvoor moet een gebruiker de details doornemen terwijl de auteursnaam altijd wordt getoond.
Tot slot zagen de onderzoekers dat het mogelijk is om toegang te krijgen tot niet-gedeelde packages. “Deze ongecontroleerde toegang biedt kwaadwillende actoren de mogelijkheid om te zoeken naar potentieel gevoelige informatie binnen niet-vermelde pakketten”, waarschuwen de onderzoekers.
Microsoft onderneemt geen actie
AquaSec bracht Microsoft ongeveer een jaar geleden op de hoogte van de bevindingen. De eigenaar van PowerShell Gallery erkent dat het alle rapporten heeft ontvangen, maar ondernam verder geen actie.
Dat is vaker de gang van zaken bij Microsoft. Het bedrijf wordt er openbaar voor bekritiseerd, maar lijkt daar weinig om te geven. Wellicht kan een officieel onderzoek door CISA, naar aanleiding van het chinese e-mailhack waar Microsoft deels de schuld voor kan krijgen, daar verandering in brengen.
Lees ook: Microsofts cyberhygiëne opnieuw bekritiseerd: ‘Nog erger dan we dachten’
Tot Microsoft besluit van gedachte te veranderen, geven de onderzoekers enkele tips om PowerShell Gallery veilig te gebruiken. Er wordt aangeraden om een beleid te hanteren waarin het enkel is toegestaan gesigneerde scripts te draaien. Een ander advies luidt om de benodigde repository in een veilige, private omgeving te draaien en niet op het online platform van Microsoft. Dan doe je er goed aan regelmatig te controleren of er geen gevoelige data in de source code zit. Tot slot scan je best op verdachte gedragingen in cloud-omgevingen van je bedrijf.
17 uur geleden
