Minacce alla PowerShell Gallery: criticità e pericoli

Gli esperti di sicurezza di Aqua hanno segnalato una serie di problemi che potrebbero portare ad attacchi insidiosi tramite la PowerShell Gallery. La mancanza di politiche rigorose sui nomi dei pacchetti permette ai malintenzionati di caricare moduli dannosi che sembrano legittimi agli utenti ignari, creando attacchi di tipo "squatting". Inoltre, un altro grave difetto risiede nella possibilità per un attaccante di falsificare i metadati di un modulo, ingannando gli utenti sulla sua autenticità. Per risolvere queste problematiche, Aqua ha segnalato i problemi a Microsoft, ma nonostante le misure reattive già introdotte, le problematiche rimangono ancora riproducibili.

Vulnerabilità che consentono di elencare pacchetti nascosti

Un terzo bug scoperto permette agli attaccanti di enumerare tutti i nomi e le versioni dei pacchetti, compresi quelli non elencati e che dovrebbero essere nascosti al pubblico. Ciò si ottiene utilizzando l'API PowerShell che consente l'accesso illimitato al database completo dei pacchetti PowerShell, inclusi i dati sensibili contenuti nei pacchetti non elencati. Questa vulnerabilità apre la porta alla compromissione dei pacchetti non elencati che contengono dati riservati. È stato segnalato il problema a Microsoft, ma le soluzioni adottate finora non sono risultate sufficienti per risolverlo definitivamente.

La responsabilità delle piattaforme nella sicurezza degli utenti

In un mondo sempre più dipendente da progetti open-source e registri, i rischi di sicurezza associati aumentano in modo significativo. Pertanto, è fondamentale che piattaforme come la PowerShell Gallery adottino misure di sicurezza adeguate per proteggere gli utenti. Gli esperti di Aqua sottolineano come la responsabilità di garantire la sicurezza sia principalmente della piattaforma stessa. In questo senso, Aqua ha inviato la segnalazione a Microsoft, ma è necessario che vengano intraprese ulteriori azioni per migliorare le misure di sicurezza.