微软3月份补丁日重点漏洞

2020年3月10日，微软发布2020年3月份安全更新，共发布了115个漏洞的补丁程序，涵盖了Microsoft Windows、Edge、ChakraCore、Internet Explorer（IE）、Exchange Server、Office、Azure DevOps、Web Apps和Microsoft恶意软件保护引擎等众多组件和软件。115个漏洞中共有26个被微软官方标记为严重。深信服安全研究团队依据漏洞重要性和影响力进行筛选，对下述漏洞做重点说明。

微软的Word远程代码执行漏洞。大多数Office产品的代码执行漏洞需要用户打开特制文件，但该漏洞不需要这种用户交互，只需在预览窗格中查看特制文件，就可以在登录用户级别执行代码。攻击者可以通过电子邮件发送恶意文档诱惑目标机器打开文件，从而实现远程代码执行。

Dynamics Business Central远程代码执行漏洞。Microsoft Dynamics Business Central中存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以在受害者的服务器上执行任意shell命令。要利用此漏洞，经过身份验证的攻击者需要诱使受害者连接到恶意的Dynamics Business Central客户端，或者提升对系统的权限以执行代码。考虑到目标服务器可能是关键任务服务器，因此建议用户快速测试和部署安全更新程序。

LNK远程代码执行漏洞。Microsoft Windows中存在一个远程执行代码漏洞，如果处理了.LNK文件，该漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。攻击者可能向用户提供可移动驱动器或远程共享，其中包含恶意的.LNK文件和关联的恶意二进制文件。当用户在Windows资源管理器或任何其他解析.LNK文件的应用程序中打开此驱动器（或远程共享）时，恶意二进制文件将在目标系统上执行攻击者选择的代码。

Media Foundation内存损坏漏洞。Windows Media Foundation不正确地处理内存中的对象时，存在内存损坏漏洞。成功利用此漏洞的攻击者可以安装程序。查看，更改或删除数据；或创建具有完全用户权限的新帐户。攻击者可以采用多种方式利用此漏洞，例如，诱使用户打开特制文档，或访问恶意网页。

GDI +远程执行代码漏洞。Windows图形设备接口（GDI）处理内存中的对象的方式中存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以控制受影响的系统。然后，攻击者可能会安装程序。查看,更改或删除数据；或创建具有完全用户权限的新帐户。攻击者可以通过多种方式利用此漏洞：在基于Web的攻击情形中，攻击者诱使用户打开特制文档，或访问恶意网页；在文件共享攻击的情况下，攻击者可能会提供旨在利用此漏洞的特制文档文件，然后诱使用户打开该文档文件。

此外，还有一个虽未在补丁日漏洞列表中，但已被公开的重要漏洞-ADV200005（CVE-2020-0796），SMBv3远程代码执行漏洞。Microsoft通过Microsoft Server Message Block 3.1.1（SMBv3）协议处理某些请求时存在一个远程执行代码漏洞，成功利用此漏洞的攻击者可以获得在目标SMB Server或SMB上执行代码的能力。要利用该漏洞，未经身份验证的攻击者可以向目标SMBv3服务器发送特制数据包，然后可以在应用程序的上下文中执行任意代码。

由于此次漏洞影响较大，深信服千里目实验室建议用户及时安装安全补丁。微软已更新受影响软件的安全补丁，用户可根据不同版本系统下载安装对应的安全补丁。

安全更新链接如下：

[1].https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0852

[2].https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0905

[3].https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0684

[4].https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0801

[5].https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0881

1.使用以下PowerShell命令禁用SMBv3压缩功能，以阻止未经身份验证的攻击者利用SMBv3服务器的漏洞：

Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters" DisableCompression -Type DWORD -Value 1 -Force

进行更改后，无需重新启动；不会阻止SMB客户端的利用。

使用以下PowerShell命令可解除禁用compression：

Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters" DisableCompression -Type DWORD -Value 0 -Force

2.在外围防火墙处阻止TCP的445端口（此种缓解措施需要根据实际生产环境酌情决定是否采用）

[1].https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0852

[2].https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0905

[3].https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0684

[4].https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0801

[5].https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0881

[6].https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0883

[7].https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005

点击阅读原文，关注深信服智安全Wiki平台，及时查询漏洞的产品解决方案，我们持续更新（需登录）~