Microsoft попросила системных администраторов исправить PowerShell 7 против двух уязвимостей, позволяющих злоумышленникам обойти принудительное применение Windows Defender Application Control (WDAC) и получить доступ к учетным данным в виде обычного текста.
PowerShell — это кроссплатформенное решение, которое предоставляет оболочку командной строки, платформу и язык сценариев, ориентированный на автоматизацию обработки командлетов PowerShell.
Redmond выпустил PowerShell 7.0.8 и PowerShell 7.1.5 для устранения этих недостатков безопасности в ветвях PowerShell 7 и PowerShell 7.1 в сентябре и октябре.
Утечка паролей и обход WDAC
WDAC предназначен для защиты устройств Windows от потенциально вредоносного программного обеспечения, обеспечивая возможность запуска только надежных приложений и драйверов, тем самым блокируя запуск вредоносных и нежелательных программ.
Когда программный уровень безопасности WDAC включен в Windows, PowerShell автоматически переходит в ограниченный языковой режим , ограничивая доступ только к ограниченному набору Windows API.
Используя функцию обхода безопасности Application Control в Защитнике Windows, которая отслеживается как CVE-2020-0951, злоумышленники могут обойти список разрешений WDAC, который позволяет им выполнять команды PowerShell, которые в противном случае были бы заблокированы при включении WDAC.
«Чтобы воспользоваться этой уязвимостью, злоумышленнику необходим доступ администратора на локальной машине, на которой работает PowerShell. Затем злоумышленник может подключиться к сеансу PowerShell и отправить команды для выполнения произвольного кода», — поясняет Microsoft .
Второй недостаток, отслеживаемый как CVE-2021-41355 , — это уязвимость раскрытия информации в .NET Core, из-за которой учетные данные могут быть пропущены в виде открытого текста на устройствах, работающих на платформах, отличных от Windows.
«В .NET существует уязвимость раскрытия информации, из-за которой System.DirectoryServices.Protocols.LdapConnection может отправлять учетные данные в виде обычного текста в операционных системах, отличных от Windows», — заявили в Microsoft.
Как узнать, пострадали ли вы
Уязвимость CVE-2020-0951 затрагивает версии PowerShell 7 и PowerShell 7.1, тогда как CVE-2021-41355 влияет только на пользователей PowerShell 7.1.
Чтобы проверить версию PowerShell, которую вы используете, и определить, уязвимы ли вы для атак, использующих эти две ошибки, вы можете выполнить pwsh -vкоманду из командной строки.
Microsoft заявляет, что в настоящее время отсутствуют какие-либо меры по предотвращению использования этих недостатков безопасности.
Администраторам рекомендуется как можно скорее установить обновленные версии PowerShell 7.0.8 и 7.1.5, чтобы защитить системы от потенциальных атак.
«Системным администраторам рекомендуется обновить PowerShell 7 до незатронутой версии», — добавила Microsoft. Подробности о том, какие версии PowerShell затронуты, и фиксированные версии можно найти здесь и здесь .
В июле Microsoft предупредила об еще одной серьезной уязвимости .NET Core для удаленного выполнения кода в PowerShell 7.
Microsoft недавно объявила, что упростит обновление PowerShell для клиентов Windows 10 и Windows Server, выпуская будущие обновления через службу Microsoft Update.
Последнее обновление 05.01.2023
