Microsoft’un popüler otomasyon platformu ve komut satırı kabuğu olan PowerShell’in, PowerShell Gallery adlı bir bileşeni bulunmaktadır. PowerShell Gallery, kullanıcıların komut dosyaları, modüller ve diğer PowerShell içeriklerini paylaşmalarını ve indirmelerini sağlar. Ancak, bu platformun sahte saldırılara ve tedarik zinciri saldırılarına karşı savunmasız olduğu ortaya çıktı.
PowerShell Gallery çeşitli amaçlar için çok sayıda komut dosyası ve cmdlet modülü barındıran, daha geniş PowerShell topluluğu tarafından karşıya yüklenen paketlerin Microsoft tarafından işletilen çevrimiçi bir deposudur.
Sahte saldırılar, saldırganların resmi bir web sitesi veya servisin görünümünü taklit ederek kullanıcıları aldatmalarını sağlar. Bu saldırılardan birinin sonucu olarak, kullanıcılar kötü amaçlı bir yazılım indirebilir veya hassas bilgilerini ifşa edebilirler. Tedarik zinciri saldırıları ise saldırganların güvenilir bir kaynağın bileşenlerine zararlı yazılımlar eklemeleriyle gerçekleşir. Bu tür bir saldırıda, kullanıcılar güvendikleri bir kaynaktan indirilen yazılımla kendilerini tehlikeye atabilirler.
Microsoft’un PowerShell Galerisi (PS Galeri), AquaSec’in Nautilus ekibi tarafından tespit edilen bir dizi zafiyet ile gündeme geldi. Bu zafiyetler şunları içermektedir:
- Spoofing: Araştırmacılar, kullanıcıların PS Galerisine, mevcut depolara çok benzer isimlerle paket gönderebileceklerini keşfettiler. Bu pratiğe ‘yazım hatası istismarı’ denir. Siber suçlular, kullanıcıların meşru ve kötü amaçlı paketler arasında ayırt edememesinden faydalanarak bu durumu kötüye kullanabilir. Ayrıca, Author ve Copyright gibi modül detaylarını sahteleyebilme yeteneği, bu sorunu daha da tehlikeli hale getiriyor, çünkü saldırganlar paketlerini güvenilir yayıncıların çalışması gibi gösterebilirler.
- Exposing hidden packages: Başka bir hata, platformdaki listelenmemiş paketlerin/modüllerin normalde Galeri’nin arama motoru tarafından indekslenmeyen içeriğini açığa çıkarmaktadır. Hem listelenmiş hem de listelenmemiş paketler hakkında kapsamlı bilgi sağlayan bir XML dosyası bulundu. XML yanıtındaki bir API bağlantısını kullanarak, saldırganlar tam PowerShell paket veritabanına sınırsız erişim elde edebilirler. Bu kontrolsüz erişim, kötü niyetli aktörlerin listelenmemiş paketler içinde potansiyel olarak hassas bilgilere ulaşmalarını sağlar.
- AquaSec, bu zafiyetleri 27 Eylül 2022’de Microsoft’a bildirdi ve şirketin Kasım ayının başında bu sorunları çözdüğünü iddia etmesine rağmen, 26 Aralık 2022’de bu zafiyetleri tekrarlayabildiler. 15 Ocak 2023’te Microsoft, isim yazım hatası ve paket detaylarının sahteciliğine yönelik bir çözüm geliştirilene kadar kısa vadeli bir çözüm uygulandığını belirtti. Ancak AquaSec, 16 Ağustos’ta bu zafiyetlerin hala devam ettiğini belirtti.
- Bu zafiyetlere karşı korunmak için, PS Galeri deposunu kullananların sadece imzalı komut dosyalarının çalışmasına izin veren politikaları benimsemeleri, güvendiği özel depoları kullanmaları, modül kaynak kodunda hassas verileri düzenli olarak taratmaları ve şüpheli aktiviteleri tespit etmek için bulut ortamlarında gerçek zamanlı izleme sistemlerini uygulamaları önerilmektedir.
- Microsoft, bu bulgulara yanıt olarak, rapordan haberdar olduklarını ve bu paketleri tanımlayıp kaldırmaya yönelik bazı değişiklikler yaptıklarını belirtti. Ancak zafiyetlerin başarılı olabilmesi için sosyal mühendisliğe dayandığını belirttiler. Microsoft, kullanıcıları, şüpheli buldukları paketleri paket modülündeki “Raporla” bağlantısı üzerinden bildirmeye teşvik ediyor ve kötü amaçlı faaliyetleri izlemeye devam edeceklerini belirtiyor.