加拿大國家網路安全中心警告,微軟SharePoint Server的一項可讓駭客執行任意程式碼的漏洞,目前正有惡意程式開採發動攻擊。

加拿大資安中心在4月底偵測到有駭客行動開採SharePoint Server上編號為CVE-2019-0604的漏洞,植入名為China Chopper的webshell程式,後者屬於一種Web應用的後門程式。加國政府指出China Chopper被廣泛用於Web伺服器的遠端攻擊中,一來是因為它大小僅4Kb,容易修改且難以偵測和阻止,還具備目錄與檔案管理功能,以及可對植入受害伺服器的元件,下達終端機指令指揮行動。

CVE-2019-0604也並非新揭露的漏洞。它是由安全研究人員Markus Wulftange與趨勢科技的ZDI單位攜手發現並通報。該漏洞為一遠端程式碼執行漏洞,出於SharePoint Server未能檢查應用封裝的程式碼標記。一旦遭成功開採,駭客即可在SharePoint應用程式集區(application pool)和伺服器農場帳號執行任意程式碼。微軟已在2月及3月的安全更新中修補了這項漏洞。

加拿大官方安全公告指出,目前已知受到China Chopper影響的系統,包括SharePoint Enterprise Server 2016、SharePoint Server 2010 SP2與2019、以及SharePoint Foundation 2013 SP1。目前加拿大遭駭的SharePoint系統分布於學校、公用事業、重工業、製造和科技產業單位。

ZDNet報導,沙烏地阿拉伯的官方資安中心,也在上周公告境內企業遭到China Chopper的攻擊,推斷發生時間和加拿大差不多。不過報導引述安全專家指出,由於China Chopper使用很普遍,因此兩者之間可能並不相關。

加拿大政府建議所有SharePoint Server系統,都應安裝3月12日微軟釋出的最新版本軟體。此外,如果SharePoint的執行個體(instance)為本地代管系統,則需確保不會連上網際網路。


Advertisement

更多 iThome相關內容