微软已要求系统管理员针对两个漏洞修补 PowerShell 7,允许攻击者绕过 Windows Defender 应用程序控制 (WDAC) 强制措施并获得对纯文本凭据的访问权限。
PowerShell 是一种跨平台解决方案,提供命令行外壳、框架和脚本语言,专注于处理 PowerShell cmdlet 的自动化。
Redmond 在 9 月和 10 月发布了 PowerShell 7.0.8 和 PowerShell 7.1.5,以解决 PowerShell 7 和 PowerShell 7.1 分支中的这些安全漏洞。
泄露的密码和 WDAC 绕过
WDAC 旨在通过确保只有受信任的应用程序和驱动程序可以运行来保护 Windows 设备免受潜在恶意软件的侵害,从而阻止恶意软件和不需要的软件启动。
在 Windows 中启用基于软件的 WDAC 安全层后,PowerShell 会自动进入 受限语言模式,从而限制对一组有限的 Windows API 的访问。
通过利用跟踪为CVE-2020-0951的 Windows Defender 应用程序控制安全功能绕过漏洞,攻击 者可以绕过 WDAC 的许可名单,这允许他们执行 PowerShell 命令,否则在启用 WDAC 时会被阻止。
“要利用该漏洞,攻击者需要在运行 PowerShell 的本地计算机上获得管理员访问权限。然后攻击者可以连接到 PowerShell 会话并发送命令来执行任意代码,”微软解释说。
第二个漏洞被追踪为 CVE-2021-41355,是 .NET Core 中的一个信息泄露漏洞,该漏洞可能会在运行非 Windows 平台的设备上以明文形式泄露凭据。
“.NET 中存在一个信息泄露漏洞,其中 System.DirectoryServices.Protocols.LdapConnection 可能会在非 Windows 操作系统上以纯文本形式发送凭据,”微软表示。
如何判断您是否受到影响
CVE-2020-0951 漏洞影响 PowerShell 7 和 PowerShell 7.1 版本,而 CVE-2021-41355 仅影响 PowerShell 7.1 的用户。
要检查您正在运行的 PowerShell 版本并确定您是否容易受到利用这两个错误的攻击,您可以pwsh -v
从命令提示符执行该命令。
微软表示,目前没有缓解措施可以阻止利用这些安全漏洞。
建议管理员尽快安装更新的 PowerShell 7.0.8 和 7.1.5 版本,以保护系统免受潜在攻击。
“建议系统管理员将 PowerShell 7 更新为不受影响的版本,”微软补充道。可以在此处和此处找到有关哪些 PowerShell 版本受到影响以及修复版本的详细信息。
7 月,微软警告PowerShell 7 中存在另一个严重的 .NET Core 远程代码执行漏洞。
微软最近宣布,它将 通过 Microsoft Update 服务发布未来的更新,从而 更轻松地为 Windows 10 和 Windows Server 客户更新 PowerShell。