微軟快速進行修復!SharePoint Server可以讓黑客執行任意程序代碼的漏洞

加拿大國家網絡安全中心警告，微軟SharePoint Server的一項可以讓黑客執行任意程序代碼的漏洞，目前正有惡意軟件開採發動攻擊。加拿大資安中心在4月底偵測到有黑客行動開採SharePoint Server上編號爲CVE-2019-0604的漏洞，植入名爲China Chopper的webshell程序，後者屬於一種Web應用的後門程序。加國政府指出China Chopper被普遍用於Web服務器的遠程攻擊中，一來是由於它大小僅4Kb，容易修改且難以偵測和阻止，還具有目錄與檔案管理功能，以及可對植入受害服務器的組件，下達終端機指令指揮行動。

CVE-2019-0604也並不是新揭露的漏洞。它是由安全研究人員Markus Wulftange與趨勢科技的ZDI單位攜手發現並通報。該漏洞爲一遠程程序代碼執行漏洞，出於SharePoint Server未能檢查應用封裝的程序代碼標記。一旦遭成功開採，黑客便可在SharePoint應用程序集區（application pool）和服務器農場帳號執行任意程序代碼。微軟已在2月及3月的安全更新中修補了這項漏洞。加拿大官方安全公告指出，目前已知受到China Chopper影響的系統，包括SharePoint Enterprise Server 201六、SharePoint Server 2010 SP2與201九、以及SharePoint Foundation 2013 SP1。目前加拿大遭駭的SharePoint系統分佈於學校、公用事業、重工業、製造和科技產業單位。ZDNet報導，沙特阿拉伯的官方資安中心，也在上週公告境內企業遭到China Chopper的攻擊，推斷髮生時間和加拿大差很少。不過報導引述安全專家指出，因爲China Chopper使用很廣泛，所以二者之間可能並不相關。加拿大政府建議全部SharePoint Server系統，都應安裝3月12日微軟釋出的最新版本軟件。此外，若是SharePoint的實例（instance）爲本地代管系統，則需確保不會連上因特網。