Underc0de

Las políticas laxas para la nomenclatura de paquetes en el repositorio de código PowerShell Gallery de Microsoft permiten a los actores de amenazas realizar ataques tipográficos, falsificar paquetes populares y potencialmente sentar las bases para ataques masivos a la cadena de suministro.

PowerShell Gallery es un repositorio en línea de paquetes cargados por la comunidad de PowerShell más amplia, que hospeda una gran cantidad de scripts y módulos de cmdlet para diversos fines.

Es una plataforma de alojamiento de código muy popular, y algunos paquetes en ella cuentan decenas de millones de descargas mensuales.

Aqua Nautilus descubrió los problemas en las políticas del mercado en septiembre de 2022 y, aunque Microsoft ha reconocido la recepción de los informes de errores correspondientes y los exploits de PoC, no ha tomado medidas para remediar las fallas.

Suplantación de identidad fácil

El equipo de Nautilus de AquaSec descubrió que los usuarios pueden enviar a la Galería de PS paquetes con nombres muy similares a los repositorios existentes, el llamado 'typosquatting' cuando los ciberdelincuentes lo aprovechan con fines maliciosos.

Un ejemplo de prueba de concepto (PoC) en el informe se refiere al popular módulo "AzTable", con un recuento de descargas de 10 millones, que podría suplantarse fácilmente con un nuevo nombre como 'Az.Table', lo que dificulta que los usuarios distingan entre ellos.

Otro problema que descubrieron los investigadores es la capacidad de falsificar los detalles del módulo, incluidos el autor y los derechos de autor, copiándolos de proyectos legítimos.

Esto no solo haría que el primer problema de typosquatting de paquetes fuera aún más peligroso, sino que también se puede abusar de él para hacer que los paquetes arbitrarios aparezcan como el trabajo de editores confiables.

Además, PS Gallery oculta de forma predeterminada el campo "Propietario" más confiable en "Detalles del paquete", que muestra la cuenta del editor que cargó el paquete.


Exponer paquetes ocultos

Una tercera falla descubierta por AquaSec se refiere a la capacidad de exponer paquetes / módulos no listados en la plataforma, que normalmente no están indexados por el motor de búsqueda de la Galería.

Para sorpresa de los investigadores, encontraron en la plataforma un archivo XML que proporcionaba detalles completos sobre los paquetes enumerados y no listados.

"Al utilizar el enlace API ubicado en la parte inferior de la respuesta XML [...], un atacante puede obtener acceso sin restricciones a la base de datos completa del paquete de PowerShell, incluidas las versiones asociadas", explica el equipo Nautilus de AquaSec.

"Este acceso incontrolado proporciona a los actores maliciosos la capacidad de buscar información potencialmente confidencial dentro de paquetes no listados".


Divulgación y mitigación

AquaSec informó todas las fallas a Microsoft el 27 de septiembre de 2022 y pudo replicarlas el 26 de diciembre de 2022, a pesar de que Microsoft declaró a principios de noviembre que habían solucionado los problemas.

El 15 de enero de 2023, Microsoft declaró que se implementó una solución a corto plazo hasta que sus ingenieros desarrollaron una solución para el nombre typosquatting y la suplantación de detalles de paquetes.

AquaSec dice que el 16 de agosto las fallas aún persistían, lo que indica que no se ha implementado una solución.

Se recomienda a los usuarios del repositorio PS Gallery que adopten políticas que permitan la ejecución de scripts firmados únicamente, utilicen repositorios privados de confianza, busquen regularmente datos confidenciales en el código fuente del módulo e implementen sistemas de supervisión en tiempo real en entornos de nube para detectar actividades sospechosas.

BleepingComputer se ha puesto en contacto con Microsoft con una solicitud de comentarios sobre los hallazgos de AquaSec, y actualizaremos esta publicación tan pronto como recibamos respuesta.

Fuente: https://www.bleepingcomputer.com