加拿大国家网络安全中心警告,微软SharePoint Server的一项可让黑客执行任意程序代码的漏洞,目前正有恶意程序开采发动攻击。
加拿大安全中心在4月底侦测到有黑客行动开采SharePoint Server上编号为CVE-2019-0604的漏洞,植入名为China Chopper的webshell程序,后者属于一种Web应用的后门程序。加国政府指出China Chopper被广泛用于Web服务器的远程攻击中,一来是因为它大小仅4Kb,容易修改且难以侦测和阻止,还具备目录与文件管理功能,以及可对植入受害服务器的组件,下达终端机指令指挥行动。
CVE-2019-0604也并非新披露的漏洞。它是由安全研究人员Markus Wulftange与趋势科技的ZDI单位携手发现并通报。该漏洞为一远程程序代码执行漏洞,出于SharePoint Server未能检查应用封装的程序代码标记。一旦遭成功开采,黑客即可在SharePoint应用程序集区(application pool)和服务器农场帐号执行任意程序代码。微软已在2月及3月的安全更新中修补了这项漏洞。
加拿大官方安全公告指出,目前已知受到China Chopper影响的系统,包括SharePoint Enterprise Server 2016、SharePoint Server 2010 SP2与2019、以及SharePoint Foundation 2013 SP1。目前加拿大遭黑的SharePoint系统分布于学校、公用业务、重工业、制造和科技产业单位。
ZDNet报导,沙特阿拉伯的官方安全中心,也在上周公告境内企业遭到China Chopper的攻击,推断发生时间和加拿大差不多。不过报引导述安全专家指出,由于China Chopper使用很普遍,因此两者之间可能并不相关。
加拿大政府建议所有SharePoint Server系统,都应安装3月12日微软发布的最新版本软件。此外,如果SharePoint的执行实例(instance)为本地托管系统,则需确保不会连上互联网。