微软本周针对PowerShell 7.0、7.1版发布最新版,呼吁Azure用户尽快更新,以避免被黑客远程程序代码攻击。
PowerShell是微软开发的任务自动化及组态管理框架,通常用于自动化系统管理,或是在CI/CD环境下创建、测试和部署解决方案。它由指令行壳层(command-line shell)、框架及描述语言组成。PowerShell为跨平台框架,可用于Windows、Linux、macOS环境,也可用于JSON、CSV、XML资料或是REST API等。PowerShell针对.NET Framework撰写,而PowerShell Core则是针对.NET Core撰写。
今年4月微软公告,.NET Core中负责文本编码执行System.Text.Encodings.Web,出现编号CVE-2021-26701的远程执行程序代码漏洞,漏洞CVSS 3.0风险达8.1。CVE-2021-26701影响 .NET 5.0、.NET Core 3.1和.NET Core 2.1,不过不影响PowerShell 5.1。
微软说明,.NET漏洞也连带影响PowerShell 7.0及7.1版。微软已分别发布PowerShell 7.0.6以及7.1.3更新版本,并呼吁如果企业用户从PowerShell 7.0或7.1管理Azure资源的话,应尽快更新到最新版本。
至于4月修补的漏洞,何以微软又重新发布安全公告,微软并未解释,不过可能和上周爆发的最新漏洞有关。有人发现网络上已有针对CVE-2021-1675 Print Spooler漏洞,发布分别具备本地权限升级及远程程序代码执行能力的PowerShell概念验证程序(PoC)。研究人员Marius Sandbu指出,虽然大部分Windows用户端因内置Windows防火墙而可免于攻击,但是打印服务器、域名控制器及具备LOCAL权限升级的服务器,如Citrix、VMware或其他终端服务的机器则可能曝险。
至于这些PoC是针对CVE-2021-1675,或是微软澄清为CVE-2021-34527的新漏洞,则不得而知。前者微软已经在上个月修补,后者则还没有官方修补程序。