AquaSec(Aqua Security) 的安全研究团队发布了一份报告，重点介绍了目前存在于 Microsoft PowerShell Gallery 中的一系列主要安全漏洞。顾名思义，PowerShell Gallery 或 PSGallery 是一个包含脚本、模块和所需状态配置 (DSC) 资源的存储库。

AquaSec 在其报告中解释说，PSGallery 存在三个主要缺陷，主要是欺和伪造。但令人惊讶的是，微软显然很早就意识到这个问题，但尚未实施任何修复。AquaSec 指出：

尽管向微软报告了这些缺陷截至 2023 年 8 月，安全响应中心两次确认了所报告的行为并声称正在进行修复，问题仍然可重现，表明尚未实施任何切实的更改。

为了让我们更好地了解其含义，AquaSec 还发布了完整的漏洞披露时间表，这表明这家科技巨头自去年 9 月以来就已经意识到了该问题。事实上，在 2023 年 3 月，微软似乎证实了“反应性修复”已经消失。

披露时间表

2022 年 9 月 27 日 - Aqua 研究团队向 MSRC 报告了缺陷。

2022 年 10 月 20 日 - MSRC 确认了我们报告的行为。

2022 年 11 月 2 日 - MSRC 表示该问题已得到解决(无法在在线服务中提供产品修复的详细信息)。

2022 年 12 月 26 日 - 我们重现了这些缺陷(无预防措施)。

2023 年 1 月 3 日 - Aqua Research 团队重新公开了有关 MSRC 缺陷的报告。

2023 年 1 月 3 日 - MSRC 确认了我们报告的行为。

2023 年 1 月 10 日 - MSRC 将该报告标记为“已解决”。

2023 年 1 月 15 日 - MSRC 回应称，“工程团队仍在致力于修复域名抢注和包详细信息欺问题。我们目前为发布到 PSGallery 的新模块制定了短期解决方案”。

2023 年 3 月 7 日 - MSRC 回应称，“反应性修复已到位”。

2023 年 8 月 16 日 - 缺陷仍然可以重现。

现在谈到安全漏洞本身，AquaSec 发现 PowerShell Gallery 软件包容易受到拼写错误问题的影响，这本质上是潜在受害者利用错误输入的情况。威胁研究团队还发现了更多通过伪造模块元数据进行欺的证据。最后，AquaSec 还发现未列出的软件包也被暴露。