Η Microsoft ζήτησε από τους διαχειριστές συστήματος να κάνουν patch στο PowerShell 7 έναντι δύο τρωτών σημείων που επιτρέπουν στους εισβολείς να παρακάμψουν τις εφαρμογές του Windows Defender Application Control (WDAC) και να αποκτήσουν πρόσβαση σε plain text credentials.
Δείτε επίσης: Ο Microsoft Edge Canary αποκτά τη νέα δυνατότητα Sharing Hub
Το PowerShell είναι μια λύση πολλαπλής πλατφόρμας που παρέχει ένα command-line shell, ένα framework και μια γλώσσα scripting που επικεντρώνεται στην αυτοματοποίηση για την επεξεργασία cmdlets του PowerShell.
Η Redmond κυκλοφόρησε το PowerShell 7.0.8 και το PowerShell 7.1.5 για να αντιμετωπίσει αυτά τα ελαττώματα ασφαλείας στα branches PowerShell 7 και PowerShell 7.1 τον Σεπτέμβριο και τον Οκτώβριο.
Δείτε επίσης: Clippy: Η Microsoft “απειλεί” να τον αναστήσει ως emoji του Office
Διαρροή κωδικών πρόσβασης και παράκαμψη WDAC
Το WDAC έχει σχεδιαστεί για να προστατεύει τις συσκευές Windows από δυνητικά κακόβουλο λογισμικό, διασφαλίζοντας ότι μπορούν να εκτελούνται μόνο αξιόπιστες εφαρμογές και drivers, αποκλείοντας έτσι την εκκίνηση κακόβουλου λογισμικού και ανεπιθύμητου λογισμικού.
Όταν το επίπεδο ασφάλειας WDAC που βασίζεται σε software είναι ενεργοποιημένο στα Windows, το PowerShell μεταβαίνει αυτόματα σε λειτουργία περιορισμένης γλώσσας, περιορίζοντας την πρόσβαση μόνο σε ένα περιορισμένο σετ από Windows APIs.
Εκμεταλλευόμενοι την ευπάθεια παράκαμψης της δυνατότητας ασφαλείας του Windows Defender Application Control που εντοπίζεται ως CVE-2020-0951, οι απειλητικοί φορείς μπορούν να παρακάμψουν τη λίστα επιτρεπόμενων μέτρων του WDAC, η οποία τους επιτρέπει να εκτελούν εντολές PowerShell που διαφορετικά θα αποκλείονταν όταν είναι ενεργοποιημένο το WDAC.
Το δεύτερο ελάττωμα, που εντοπίστηκε ως CVE-2021-41355, είναι μια ευπάθεια αποκάλυψης πληροφοριών στο .NET Core όπου θα μπορούσαν να διαρρεύσουν credentials σε clear text σε συσκευές που λειτουργούν με πλατφόρμες non-Windows.
Δείτε επίσης: Windows 11: Το Store είναι ανοιχτό σε app stores τρίτων
Πώς να πείτε εάν επηρεάζεστε
Η ευπάθεια CVE-2020-0951 επηρεάζει και τις εκδόσεις PowerShell 7 και PowerShell 7.1, ενώ το CVE-2021-41355 επηρεάζει μόνο τους χρήστες του PowerShell 7.1.
Για να ελέγξετε την έκδοση PowerShell που εκτελείτε και να προσδιορίσετε εάν είστε ευάλωτοι σε επιθέσεις που εκμεταλλεύονται αυτά τα δύο σφάλματα, μπορείτε να εκτελέσετε την εντολή pwsh -v από ένα Command Prompt.
Η Microsoft λέει ότι προς το παρόν δεν υπάρχουν διαθέσιμα μέτρα mitigation για τον αποκλεισμό του exploitation αυτών των ελαττωμάτων ασφαλείας.
Συνιστάται στους διαχειριστές να εγκαταστήσουν τις ενημερωμένες εκδόσεις PowerShell 7.0.8 και 7.1.5 το συντομότερο δυνατό για να προστατεύσουν τα συστήματα από πιθανές επιθέσεις.
Τον Ιούλιο, η Microsoft προειδοποίησε για ένα άλλο θέμα ευπάθειας εκτέλεσης απομακρυσμένου κώδικα .NET Core στο PowerShell 7.
Η Microsoft ανακοίνωσε πρόσφατα ότι θα διευκολύνει την ενημέρωση του PowerShell για πελάτες Windows 10 και Windows Server, με την κυκλοφορία μελλοντικών ενημερώσεων μέσω της υπηρεσίας Microsoft Update.
Πηγή πληροφοριών: bleepingcomputer.com
