veja o que fazer em vez disso, o PowerShell é frequentemente abusado por invasores, mas os defensores não devem desativar a ferramenta de linha de comando do Windows, alertam as agências de segurança cibernética

 As autoridades de segurança cibernética dos EUA, Reino Unido e Nova Zelândia aconselharam empresas e agências governamentais a configurar adequadamente a ferramenta de linha de comando Windows integrada da Microsoft, PowerShell – mas não a removê-la.    

Os defensores não devem desabilitar o PowerShell, uma linguagem de script, porque é uma interface de linha de comando útil para Windows que pode ajudar com perícia, resposta a incidentes e automatização de tarefas de desktop ,  de acordo com o conselho conjunto  do serviço de espionagem dos EUA, a Agência de Segurança Nacional (NSA). ), a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) e os centros nacionais de segurança cibernética da Nova Zelândia e do Reino Unido.

Ele também permite que os administradores automatizem tarefas de segurança na plataforma de nuvem Azure da Microsoft. Os usuários podem, por exemplo, escrever comandos do PowerShell para gerenciar o antivírus Defender da Microsoft no Windows 10 e no Windows 11.

Mas a flexibilidade do PowerShell também o tornou acessível a invasores que o usaram para comprometer remotamente dispositivos Windows e até sistemas Linux. 

Então, o que os defensores devem fazer? Remover PowerShell? Bloquear? Ou apenas configurá-lo? 

“As autoridades de segurança cibernética dos Estados Unidos, Nova Zelândia e Reino Unido recomendam a configuração e o monitoramento adequados do PowerShell, em vez de remover ou desabilitar completamente o PowerShell” , dizem as agências .

"Isso fornecerá benefícios dos recursos de segurança que o PowerShell pode habilitar, reduzindo a probabilidade de agentes mal-intencionados usá-lo sem serem detectados após obter acesso às redes das vítimas".

A extensibilidade do PowerShell e o fato de ser fornecido com o Windows 10 e 11 oferece aos invasores um meio de abusar da ferramenta. Isso geralmente acontece depois que um invasor obtém acesso à rede da vítima por meio do Windows ou de outras vulnerabilidades de software. 

Mas os ataques do PowerShell fizeram com que alguns administradores o removessem dos dispositivos e isso é uma má ideia, de acordo com a NSA.  

"Isso levou alguns defensores da rede a desativar ou remover a ferramenta do Windows. A NSA e seus parceiros desaconselham isso", disse a NSA . 

Como observa o Departamento de Defesa dos EUA , o bloqueio do PowerShell dificulta os recursos defensivos que as versões atuais do PowerShell podem fornecer e impede que os componentes do Windows sejam executados corretamente.

O conselho está alinhado com a orientação da Microsoft sobre o uso do PowerShell e as dicas fornecidas aos administradores para se protegerem contra ataques do PowerShell. A Microsoft em 2020 reconheceu que "o PowerShell está sendo usado tanto por malware quanto por invasores". 

“O PowerShell é – de longe – o shell, linguagem de script ou linguagem de programação mais seguro e transparente disponível”, disse a Microsoft em um post de blog de 2020 .

O Centro Nacional de Segurança Cibernética da Nova Zelândia resume os benefícios de usar o PowerShell: 

• Proteção de credenciais durante a comunicação remota do PowerShell
• Proteção de rede de comunicação remota do PowerShell
• Integração de interface de verificação antimalware (AMSI)
• PowerShell restrito com controle de aplicativos

O PowerShell também habilita recursos de administração remota que usam protocolos Kerberos ou New Technology LAN Manager (NTLM). Kerberos é a estrutura principal para o Active Directory (AD) local, o serviço de identidade da Microsoft, e é o sucessor do NTLM, implementado no Windows 2000. 

A Microsoft lançou o PowerShell 7 em 2020 , mas a versão 5.1 é fornecida com o Windows 10 e superior. A versão mais recente é a 7.2, que inclui novas medidas de segurança como prevenção, detecção e autenticação.

As autoridades recomendam "desativar e desinstalar explicitamente" o PowerShell 5.1, mas não fazem recomendações para o uso de versões do PowerShell com Linux e macOS.

Eles também oferecem conselhos para proteção de rede, AMSI e configuração do AppLocker/Windows Defender Application Control (WDAC) para configurar o PowerShell para impedir que invasores obtenham controle total sobre as sessões do PowerShell. 

As agências destacam recursos disponíveis nas versões mais recentes do PowerShell, como log de bloco de script profundo, transcrição por cima do ombro, procedimentos de autenticação e acesso remoto via Secure Shell (SSH)  

“O PowerShell é essencial para proteger o sistema operacional Windows, especialmente porque as versões mais recentes resolveram limitações e preocupações anteriores por meio de atualizações e aprimoramentos”, diz a NSA. 

"Remover ou restringir indevidamente o PowerShell impediria que administradores e defensores utilizassem o PowerShell para auxiliar na manutenção do sistema, análise forense, automação e segurança. O PowerShell, juntamente com suas habilidades administrativas e medidas de segurança, deve ser gerenciado e adotado adequadamente."

Fonte:ZDnet