Microsoft pide a los administradores que parcheen PowerShell

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft ha pedido a los administradores de sistemas que parcheen PowerShell 7 contra dos vulnerabilidades que permitan a los atacantes eludir las implementaciones del Control de aplicaciones de Windows Defender (WDAC) y obtener acceso a credenciales de texto sin formato.

PowerShell es una solución multiplataforma que proporciona un shell de línea de comandos, un marco y un lenguaje de scripting centrado en la automatización para procesar cmdlets de PowerShell.

Redmond lanzó PowerShell 7.0.8 y PowerShell 7.1.5 para abordar estas fallas de seguridad en las ramas de PowerShell 7 y PowerShell 7.1 en septiembre y octubre.

Contraseñas filtradas y omisión de WDAC

WDAC está diseñado para proteger los dispositivos Windows contra software potencialmente malicioso al garantizar que solo se puedan ejecutar aplicaciones y controladores confiables, bloqueando así el lanzamiento de malware y software no deseado.

Cuando la capa de seguridad WDAC basada en software está habilitada en Windows, PowerShell pasa automáticamente al modo de lenguaje restringido, restringiendo el acceso solo a un conjunto limitado de la API de Windows.

Al explotar la vulnerabilidad de omisión de la función de seguridad de control de aplicaciones de Windows Defender rastreada como CVE-2020-0951, los actores de amenazas pueden eludir la lista de permisos de WDAC, que les permite ejecutar comandos de PowerShell que de otro modo se bloquearían cuando WDAC está habilitado.

"Para aprovechar la vulnerabilidad, un atacante necesita acceso de administrador en una máquina local donde se ejecuta PowerShell. El atacante podría conectarse a una sesión de PowerShell y enviar comandos para ejecutar código arbitrario", explica Microsoft.

La segunda falla, rastreada como CVE-2021-41355, es una vulnerabilidad de divulgación de información en .NET Core donde las credenciales podrían filtrarse en texto sin cifrar en dispositivos que ejecutan plataformas que no son Windows.

"Existe una vulnerabilidad de divulgación de información en .NET donde System.DirectoryServices.Protocols.LdapConnection puede enviar credenciales en texto plano en sistemas operativos que no son Windows", dijo Microsoft.

Cómo saber si está afectado

La vulnerabilidad CVE-2020-0951 afecta a las versiones de PowerShell 7 y PowerShell 7.1, mientras que CVE-2021-41355 solo afecta a los usuarios de PowerShell 7.1.

Para verificar la versión de PowerShell que está ejecutando y determinar si es vulnerable a los ataques que explotan estos dos errores, puede ejecutar el comando pwsh -v desde un símbolo del sistema.

Microsoft dice que actualmente no hay medidas de mitigación disponibles para bloquear la explotación de estas fallas de seguridad.

Se recomienda a los administradores que instalen las versiones actualizadas de PowerShell 7.0.8 y 7.1.5 lo antes posible para proteger los sistemas de posibles ataques.

"Se recomienda a los administradores del sistema que actualicen PowerShell 7 a una versión que no se vea afectada", agregó Microsoft.
En julio, Microsoft advirtió sobre otra vulnerabilidad de ejecución remota de código .NET Core de alta gravedad en PowerShell 7.

Microsoft anunció recientemente que facilitaría la actualización de PowerShell para los clientes de Windows 10 y Windows Server al lanzar actualizaciones futuras a través del servicio Microsoft Update.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta