شرکت مایکروسافت (Microsoft Corp) به راهبران امنیتی توصیه کرده تا دراسرع‌وقت نسبت به وصله دو ضعف امنیتی در PowerShell ۷ اقدام کنند. این آسیب‌پذیری‌ها به مهاجمان اجازه می‌دهند تا از سد کنترل‌های امنیتی Windows Defender Application Control – به اختصار WDAC – عبور کرده و به اطلاعات اصالت‌سنجی دسترسی پیدا کنند.
به گزارش مرکز مدیریت راهبردی افتا،  PowerShellیک بستر (Platform) و یکی از ابزارهای خودکارسازی فرمان ها و مدیریت پیکربندی است که شرکت مایکروسافت آن را برای سیستم‌عامل Windows ارائه کرده است. این ابزار برای کاهش حجم کاری مدیران و کاربران ایجاد شده تا قابلیت خودکارسازی تنظیمات سیستم‌عامل، وظایف و پردازش‌های ساده Windows را فراهم کند. 
PowerShell متشکل از یک پوسته خط فرمان و یک زبان برنامه‌نویسی Scripting بوده و بیش از ۱۳۰ خط فرمان استاندارد برای توابع مختلف دارد. در ابتدا فقط یکی از مؤلفه‌های Windows بود که به Windows PowerShell معروف و بر روی .Net Framework ساخته شده بود. در ۱۸ آگوست ۲۰۱۶، با معرفی PowerShell Core به صورت منبع‌باز و چند‌بستری بر روی .Net Core ساخته شد.  
در ماه‌های اکتبر و سپتامبر نیز نسخه‌های PowerShell ۷,۰.۸ و PowerShell ۷.۱.۵ برای رفع ضعف‌امنیتی موجود در PowerShell ۷ و PowerShell ۷.۱ ارائه شده بود.
WDAC جهت محافظت از سیستم‌های Windows در برابر نرم‌افزارهای مخرب و تضمین اجرای برنامه‌های معتبر و راه‌اندازهای امن طراحی شده است و اجرای بدافزارها و نرم‌افزارهای ناخواسته را مسدود می‌کند.
هنگامی که لایه امنیتی مبتنی بر نرم‌افزار WDAC در Windows فعال است، PowerShell به طور خودکار  به وضعیت Constrained Language Mode سوییچ می‌کند و تنها موجب دسترسی به مجموعه محدودی از Windows API می‌شود.
مهاجمان با سوءاستفاده از ضعف امنیتی موجود در WDAC که از نوع “عبور از سد کنترل‌های امنیتی” (Security Feature Bypass) بوده و دارای شناسه CVE-۲۰۲۰-۰۹۵۱ است، فهرست مجاز WDAC را دور زده و فرامین PowerShell را که در حالت عادی به‌واسطه فعال‌بودن WDAC مسدود می‌شوند، اجرا می‌کنند.
شرکت مایکروسافت در گزارش خود به نشانی زیر اعلام نموده که مهاجم جهت سوءاستفاده از این آسیب‌پذیری، به سطح دسترسی ممتاز (Administrator) در سیستم محلی که PowerShell در آن اجرا می‌شود، نیاز دارد. مهاجم پس از دستیابی به سطح دسترسی بالا، به PowerShell متصل شده و فرامینی را جهت “اجرای کد ناخواسته” (Arbitrary Code Execution) ارسال می‌کند.

https://github.com/PowerShell/Announcements/issues/۲۷

آسیب‌پذیری دوم، که دارای شناسه CVE-۲۰۲۱-۴۱۳۵۵ است، ضعف امنیتی از نوع “افشای اطلاعات” (Information Disclosure) در  .NET Core است که سوءاستفاده از آن، اطلاعات اصالت‌سنجی را به صورت کاملاً واضح در سیستم‌هایی که سیستم‌عاملی غیر از Windows در آن‌ها در حال اجراست، فاش می‌کند.
مایکروسافت در گزارش دیگری به نشانی زیر، عنوان کرده که این ضعف امنیتی از طریق System.DirectoryServices.Protocols.LdapConnection منجر به افشای اطلاعات اصالت‌سنجی به‌صورت کاملاً واضح در سیستم‌های فاقد سیستم‌عامل Windows می‌شود.

https://github.com/PowerShell/Announcements/issues/۲۶

آسیب‌پذیری CVE-۲۰۲۰-۰۹۵۱ در هر دو نسخه PowerShell ۷ و PowerShell ۷,۱ وجود دارد، درحالی‌که فقط کاربران PowerShell ۷.۱ از ضعف‌امنیتی با شناسه CVE-۲۰۲۱-۴۱۳۵۵ تأثیر می‌پذیرند.
به‌منظور شناسایی نسخه‌ای از PowerShell که در سیستم در حال اجرا و تعیین اینکه سیستم در برابر کدام یک از دو ضعف امنیتی فوق آسیب‌پذیر است، راهبران می‌توانند فرمان pwsh  -v را در Command Prompt اجرا کنند.
مایکروسافت اعلام کرده است که در حال حاضر هیچ‌گونه اقدام کاهشی برای مسدودسازی سوءاستفاده از این ضعف‌‌های امنیتی وجود ندارد و به راهبران امنیتی توصیه کرده تا در اسرع وقت نسخه‌های به‌روز شده PowerShell ۷,۰.۸ و PowerShell ۷,۱.۵ را جهت محافظت سیستم‌ها در برابر حملات احتمالی نصب کنند.
مایکروسافت در ادامه به راهبران امنیتی توصیه کرده که به‌روز‌رسانی نسخه‌ای از PowerShell ۷ را که تحت تاثیر این ضعف‌های امنیتی نبوده است، در دستور کار خود قرار دهند. جزئیات مربوط به نسخه‌های به‌روز شده و نسخه‌هایی از PowerShell که تحت تاثیر آسیب‌پذیری‌های فوق بوده‌اند در نشانی‌های زیر قابل دریافت است.

https://github.com/PowerShell/Announcements/issues/۲۷
https://github.com/PowerShell/Announcements/issues/۲۶

در ماه جولای نیز این شرکت در مورد آسیب‌پذیری دیگری از نوع “اجرای کد از راه دور” (Remote Code Execution) با شناسه CVE-۲۰۲۱-۲۶۷۰۱ در PowerShell ۷ هشدار داده بود.
این شرکت اعلام کرده است که با انتشار به‌روزرسانی‌های بعدی از طریق سرویس Microsoft Update Service، به‌روزرسانی PowerShell برای مشتریان Windows ۱۰ و Windows Server آسان‌تر می‌شود.

منبع:

https://www.bleepingcomputer.com/news/microsoft/microsoft-asks-admins-to-patch-powershell-to-fix-wdac-bypass

(با تشکر از شرکت مهندسی شبکه گستر برای همکاری در تهیه این گزارش)