加拿大资安中心在4月底侦测到有黑客行动开采SharePoint Server上编号为CVE-2019-0604的漏洞,植入名为China Chopper的webshel??l程序,后者属于一种Web应用的后门程序。加国政府指出 China Chopper被广泛用于Web服务器的远端攻击中,一来是因为它大小仅4Kb,容易修改且难以侦测和阻止,还具备目录与档案管理功能,以及可对植入受害服务器的元件,下达终端机指令指挥行动。
CVE-2019-0604也并非新揭露的漏洞。它是由安全研究人员Markus Wulftange与趋势科技的ZDI单位携手发现并通报。该漏洞为一远端源代码执行漏洞,出于SharePoint Server未能检查应用封装的源代码标记。一旦遭成功开采,黑客即可在SharePoint应用程序集区(application pool)和服务器农场帐号执行任意源代码。微软已在2月及3月的安全更新中修补了这项漏洞。
加拿大官方安全公告指出,目前已知受到China Chopper影响的系统,包括SharePoint Enterprise Server 2016、SharePoint Server 2010 SP2与2019、以及SharePoint Foundation 2013 SP1。目前加拿大遭黑的SharePoint系统分布于学校、公用事业、重工业、制造和科技产业单位。
ZDNet报导,沙乌地阿拉伯的官方资安中心,也在上周公告境内企业遭到China Chopper的攻击,推断发生时间和加拿大差不多。不过报导引述安全专家指出,由于China Chopper使用很普遍,因此两者之间可能并不相关。
加拿大政府建议所有SharePoint Server系统,都应安装3月12日微软发布的最新版本软件。此外,如果SharePoint的执行个体(instance)为本地代管系统,则需确保不会连上网际网络。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
