Microsoft ignora correção de falha no Powershell Gallery

Publicado em por

Microsoft ignora correção de falha no Powershell Gallery

A Microsoft lançou recentemente uma correção para a sua Galeria do PowerShell, depois de ter sido identificada uma falha grave na mesma que poderia ser usada para ataques.

A falha foi originalmente descoberta pela equipa de investigadores da empresa AquaSec, e afeta a PowerShell Gallery, uma espécie de centro de scripts e aplicações criadas pelos utilizadores, e que são partilhadas em formato comunitário.

A AquaSec indicou ter encontrado falhas de segurança na funcionalidade do PSGallery, que poderiam levar a que conteúdos enganosos e potencialmente maliciosos fossem enviados para a plataforma. Curiosamente, a falha aparentava ser do conhecimento da Microsoft faz bastante tempo, mas a empresa tinha decidido não corrigir a mesma.

Os investigadores afirmam que a falha foi inicialmente descoberta em 27 de Setembro de 2022, sendo que a equipa da Microsoft foi informada da mesma a 20 de Outubro de 2022. Poucos dias depois, a 2 de Novembro de 2022, a empresa tinha confirmado que a falha foi corrigida, mas depois de analisada pelos investigadores, verificou-se que esta ainda se encontrava presente na plataforma.

Desde então, os investigadores têm vindo a tentar comunicar com a Microsoft para resolver a falha, mas sem sucesso. A empresa tem vindo a relatar que forma implementadas medidas corretivas da falha, para prevenir a exploração da mesma, mas sem aplicar diretamente uma correção – o que leva a que a falha ainda seja ativamente explorada.

A falha em si é uma espécie de “typosquatting”, onde é possível enviar para a plataforma scripts com carateres que podem levar os utilizadores a instalar os mesmos pensando tratar-se de outro script. Este género de falhas são bastante comuns, e também simples de resolver, mas podem levar a enganos pelos utilizadores mais desatentos – e por vezes até mesmo por quem tenha alguns conhecimentos na área.

A Microsoft, até ao momento, ainda não lançou uma correção definitiva para a falha, apesar dos investigadores terem divulgado publicamente a interação com a empresa e os problemas que tiveram na comunicação.