【漏洞预警】SQL Server Reporting Services高危漏洞

发布者:郭玉娇发布时间:2020-02-18浏览次数:1062

关于SQL Server Reporting Services高危漏洞风险提示:

 

【漏洞公告】

        2020年2月11日,微软发布了2月份安全更新补丁,其中包含一个SQL Server Reporting Services的远程代码执行漏洞,对应CVE编号:CVE-2020-0618,漏洞公告:https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-0618

        根据公告,Microsoft SQL Server Reporting Services在处理Web请求时存在远程代码执行漏洞,成功利用漏洞能获取SQL Server Reporting Services管理权限或系统管理权限。2月14日,安恒应急响应中心监测到有人发布了该漏洞的分析报告和POC代码,建议尽快安装安全更新补丁。

        微软2月其他漏洞请参考2月安全更新列表:https://portal.msrc.microsoft.com/zh-CN/security-guidance/releasenotedetail/2020-Feb

 

【影响范围】

        CVE-2020-0618漏洞影响SQL Server 2012/2014/2016等版本:

        Microsoft SQL Server 2012 for 32-bit Systems Service Pack 4 (QFE)

        Microsoft SQL Server 2012 for x64-based Systems Service Pack 4 (QFE)

        Microsoft SQL Server 2014 Service Pack 3 for 32-bit Systems (CU)

        Microsoft SQL Server 2014 Service Pack 3 for 32-bit Systems (GDR)

        Microsoft SQL Server 2014 Service Pack 3 for x64-based Systems (CU)

        Microsoft SQL Server 2014 Service Pack 3 for x64-based Systems (GDR)

        Microsoft SQL Server 2016 for x64-based Systems Service Pack 2 (CU)

        Microsoft SQL Server 2016 for x64-based Systems Service Pack 2 (GDR)

        确认SQL Server版本号请参考:

        https://support.microsoft.com/zh-cn/help/321185/how-to-determine-the-version-edition-and-update-level-of-sql-server-an

 

【漏洞描述】

        CVE-2020-0618:根据分析,漏洞由ReportingServicesWebServer.dll文件中的Microsoft.Reporting.WebForms.BrowserNavigationCorrector方法不安全的反序列化触发,有权限访问/ReportViewer.aspx页面的恶意攻击者可以通过POST提交攻击代码,成功利用漏洞能获取SQL Server Reporting Services管理权限或系统管理权限。

 

【缓解措施】

        高危:目前漏洞细节和利用代码已经公开,建议及时测试并安装安全更新补丁,或部署必要安全设备拦截恶意攻击代码。

        临时缓解措施:

        可以限制对Web目录/ReportServer/的访问来缓解漏洞利用。

        微软补丁更新建议:微软每月第二周周二会定期发布安全更新补丁,建议企业订阅和关注官方安全更新公告,及时测试补丁或做更新。