ls C:* -Recurse -Include '*.ps1', '*.psm1' |
 Select-String -Pattern 'Add-Type' |
 Sort Path -Unique |
 % { Get-AuthenticodeSignature -FilePath $_.Path } |
 "htmlcode">

  $Global:Source = @'
  public class Test {
    public static string PrintString(string inputString) {
      return inputString;
    }
  }'@
Add-Type -TypeDefinition $Global:Source



简要说明下Add-Type注入缺陷。受限语言模式的一个限制是你不能调用非白名单类的.NET方法，但有两个例外：属性（getter方法）和ToString方法。在上面的PoC中，我选择了实现一个静态的ToString方法，因为ToString允许传递参数（getter不行）。我的类也是静态的，因为.NET类的白名单只在New-Object实例化对象时适用。
那么上面的漏洞代码是否听起来不切实际呢？你可以这么认为，但是Microsoft.PowerShell.ODataUtils 模块中的Microsoft.PowerShell.ODataUtils也有这个漏洞。微软在 CVE-2017-0215, CVE-2017-0216, CVE-2017-0219中修复了它。说实话，我不太记得了。Matt Nelson 和我都报告了这些注入bug。
缓解攻击
尽管微软在推动解决这个漏洞，我们有什么可以做的呢？
有个关于UMCI绕过二进制的有效的黑名单规则是文件名规则，其能基于PE文件中版本信息资源中的原始文件名来阻止程序执行。PowerShell很明显不是个PE文件，它是文本文件，因此文件名规则不适用。但是，你可以通过使用哈希规则强制阻止有漏洞的脚本。Okay…要是相同脚本有不止一个漏洞呢？目前为止你只阻止一个哈希。你开始注意这个问题了吗？为了有效的阻止之前所有有漏洞的版本的脚本，你必须知道所有有漏洞的版本的哈希。微软意识到了问题并尽最大努力来扫描所有之前发布的有漏洞脚本，且收集哈希将他们整合到了黑名单中。
通过他们的哈希阻止所有版本的有漏洞的脚本有一定挑战性，但能一定程度上阻止攻击。这就是为什么一直迫切需要只允许PowerShell 5的执行并要开启scriptblock日志记录。Lee Holmes 有篇关于如何有效的阻止老版本的PowerShell的博文。
另一种方式是系统中大部分脚本和二进制都是catalog和Authenticode签名的。Catalog签名不是意味着脚本有内嵌的Authenticode签名，而是它的哈希存储在微软签名的catalog文件中。因此当微软更新时，老版本的哈希将会过期，将不再是被签名的了。现在，一个攻击者也能将老的签名的catalog文件插入到catalog存储中。你不得不提权执行操作，关于这个，有很多方法可以绕过Device Guard UMCI。作为一个搜索有漏洞脚本的研究员，首先要寻找具有内嵌Authenticode签名的有漏洞脚本（有字符串“SIG # Begin signature block”的提示）。Matt Nelson说这种bypass脚本存在。
报告
如果你找到了一种绕过，请将它上报给secure@microsoft.com ，你将得到一个CVE。PowerShell团队积极解决注入缺陷，但是他们也主动解决用于影响代码执行的一些方式。
总结
尽管受限语言模式能有效的阻止未签名代码的执行，PowerShell和它的签名过的模块或脚本还是有很多攻击面。我鼓励每个人都来寻找更多的注入缺陷，上报他们，通过官方的MSRC获得荣誉，并使得PowerShell生态变得更加安全。同时希望，PowerShell的代码作者要自我检视。
现在我解释了所有的内容，但是因为设计缺陷允许利用竞争条件，所以调用Add-Type还是有注入的漏洞。我希望能继续阐述这些问题，且希望微软将考虑解决这个基础问题。