Des politiques laxistes pour la dénomination des packages sur le référentiel de code PowerShell Gallery de Microsoft permettent aux acteurs de la menace d’effectuer des attaques de typosquattage, d’usurper des packages populaires et potentiellement de préparer le terrain pour des attaques massives de la chaîne d’approvisionnement.

PowerShell Gallery est un référentiel en ligne géré par Microsoft de packages téléchargés par la communauté PowerShell au sens large, hébergeant un grand nombre de scripts et de modules d’applet de commande à diverses fins.

C’est une plate-forme d’hébergement de code très populaire, et certains packages comptent des dizaines de millions de téléchargements mensuels.

Aqua Nautilus a découvert les problèmes dans les politiques du marché en septembre 2022 et même si Microsoft a accusé réception des rapports de bogues et des exploits PoC correspondants, il n’a pris aucune mesure pour remédier aux failles.

Usurpation facile
L’équipe Nautilus d’AquaSec a découvert que les utilisateurs peuvent soumettre à la PS Gallery des packages avec des noms très similaires aux référentiels existants, ce que l’on appelle le « typosquatting » lorsque les cybercriminels l’utilisent à des fins malveillantes.

Un exemple de preuve de concept (PoC) dans le rapport fait référence au module populaire « AzTable » – avec un nombre de téléchargements de 10 millions, qui pourrait être facilement imité avec un nouveau nom comme « Az.Table », ce qui rend difficile pour utilisateurs de les différencier.

Un autre problème que les chercheurs ont découvert est la possibilité d’usurper les détails du module, y compris l’auteur et le droit d’auteur, en les copiant à partir de projets légitimes.

Non seulement cela rendrait le premier problème de typosquattage de packages encore plus dangereux, mais cela pourrait également être utilisé abusivement pour faire apparaître des packages arbitraires comme l’œuvre d’éditeurs dignes de confiance.

De plus, PS Gallery masque par défaut le champ « Propriétaire » plus fiable sous « Détails du package », qui affiche le compte de l’éditeur qui a téléchargé le package.

Paquet usurpé (à gauche) et module réel (à droite)

Exposer les packages cachés
Une troisième faille découverte par AquaSec concerne la possibilité d’exposer des packages/modules non répertoriés sur la plateforme, qui ne sont normalement pas indexés par le moteur de recherche de la Galerie.

À la surprise des chercheurs, ils ont trouvé sur la plate-forme un fichier XML qui fournissait des détails complets sur les packages répertoriés et non répertoriés.

« En utilisant le lien API situé au bas de la réponse XML […], un attaquant peut obtenir un accès illimité à la base de données complète du package PowerShell, y compris les versions associées. » explique l’équipe Nautilus d’AquaSec.

« Cet accès incontrôlé offre aux acteurs malveillants la possibilité de rechercher des informations potentiellement sensibles dans des packages non répertoriés. »

Clé API d’une grande firme technologique exposée sur le projet non coté

Divulgation et atténuation
AquaSec a signalé toutes les failles à Microsoft le 27 septembre 2022 et a pu les reproduire le 26 décembre 2022, bien que Microsoft ait déclaré début novembre avoir résolu les problèmes.

Le 15 janvier 2023, Microsoft a déclaré qu’une solution à court terme avait été mise en œuvre jusqu’à ce que ses ingénieurs développent un correctif pour le typosquattage du nom et l’usurpation des détails du package.

AquaSec dit que le 16 août, les failles persistaient, indiquant qu’aucun correctif n’a été mis en œuvre.

Il est conseillé aux utilisateurs du référentiel PS Gallery d’adopter des politiques qui autorisent l’exécution de scripts signés uniquement, d’utiliser des référentiels privés de confiance, de rechercher régulièrement des données sensibles dans le code source du module et de mettre en œuvre des systèmes de surveillance en temps réel dans les environnements cloud pour détecter les activités suspectes.

Breachtrace a contacté Microsoft avec une demande de commentaire sur les conclusions d’AquaSec, et nous mettrons à jour ce message dès que nous aurons une réponse.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *