微軟分析師在源代碼管理平臺中發現四大漏洞

微軟分析師在對Perforce Helix的游戲開發工作室產品進行安全審查時，發現為游戲、政府、軍事和技術等部門廣泛使用的源代碼管理平臺 Perforce Helix Core Server 存在四大漏洞，并于今年 8 月底向 Perforce 報告了這些漏洞，其中一個漏洞被評為嚴重漏洞。

盡管目前微軟表示尚未發現上述四個漏洞被黑客利用的跡象，但還是建議用戶盡快升級到 11 月 7 日發布的 2023.1/2513900 版本，以降低風險。

Perforce Helix 核心漏洞

微軟發現的四個漏洞主要涉及拒絕服務（DoS）問題，其中最嚴重的漏洞允許未經認證的攻擊者以本地系統（LocalSystem）身份執行任意遠程代碼。

漏洞概述如下：

• CVE-2023-5759（CVSS 得分 7.5）： 通過 RPC 標頭濫用進行未驗證（DoS）。
• CVE-2023-45849（CVSS 得分為 9.8）： 以 LocalSystem 身份執行未經驗證的遠程代碼。
• CVE-2023-35767 (CVSS 得分為 7.5)： 通過遠程命令執行未經驗證的 DoS。
• CVE-2023-45319 (CVSS 得分 7.5)：通過遠程命令執行未驗證的 DoS： 通過遠程命令實施未經驗證的 DoS。

其中，CVE-2023-45849 是這組漏洞中最危險的漏洞，它允許未經身份驗證的黑客通過 "LocalSystem "執行代碼，"LocalSystem "是一個為系統功能保留的高權限 Windows 操作系統賬戶，通過該賬戶可以訪問本地資源和系統文件、修改注冊表設置等。

根據調查，該漏洞的源頭是由于服務器對 user-bgtask RPC 命令的錯誤處理。在默認配置下，Perforce 服務器允許未經身份驗證的黑客以 LocalSystem 身份遠程執行任意命令，包括 PowerShell 腳本。

黑客一旦成功利用 CVE-2023-45849漏洞，就能安裝后門、訪問敏感信息、創建或修改系統設置，并有可能完全控制運行有漏洞的 Perforce Server 版本的系統。

導致命令執行的函數調用鏈，來源：微軟

其余三個漏洞的嚴重程度較低，但仍應該引起重視。這些漏洞允許DDos攻擊，可能造成運行中斷，一旦有黑客利用漏洞發起大規模攻擊可能會出現重大經濟損失。

保護建議

除了從供應商的下載門戶下載最新版本的 Helix Core 外，微軟還建議采取以下措施：

• 定期更新第三方軟件
• 使用 VPN 或 IP 允許列表限制訪問
• 使用帶有代理的 TLS 證書進行用戶驗證
• 記錄對 Perforce 服務器的所有訪問
• 為 IT 和安全團隊設置崩潰警報
• 使用網絡分段遏制漏洞

建議廣大用戶遵循上述的官方安全指南提示內容。

參考來源：Microsoft discovers critical RCE flaw in Perforce Helix Core Server