1. 漏洞公告

近日，微软发布了2月份安全更新补丁，其中包含一个SQL Server Reporting Services的远程代码执行漏洞，对应CVE编号：CVE-2020-0618，漏洞公告：https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-0618。

根据公告，Microsoft SQL Server Reporting Services在处理Web请求时存在远程代码执行漏洞，成功利用漏洞能获取SQL Server Reporting Services管理权限或系统管理权限。近日，安全专家团队监测到有人发布了该漏洞的分析报告和POC代码，建议尽快安装安全更新补丁。

微软2月其他漏洞请参考2月安全更新列表：https://portal.msrc.microsoft.com/zh-CN/security-guidance/releasenotedetail/2020-Feb。

2. 影响范围

CVE-2020-0618漏洞影响SQL Server 2012/2014/2016等版本：

Microsoft SQL Server 2012 for 32-bit Systems Service Pack 4 (QFE)

Microsoft SQL Server 2012 for x64-based Systems Service Pack 4 (QFE)

Microsoft SQL Server 2014 Service Pack 3 for 32-bit Systems (CU)

Microsoft SQL Server 2014 Service Pack 3 for 32-bit Systems (GDR)

Microsoft SQL Server 2014 Service Pack 3 for x64-based Systems (CU)

Microsoft SQL Server 2014 Service Pack 3 for x64-based Systems (GDR)

Microsoft SQL Server 2016 for x64-based Systems Service Pack 2 (CU)

Microsoft SQL Server 2016 for x64-based Systems Service Pack 2 (GDR)

确认SQL Server版本号请参考：

https://support.microsoft.com/zh-cn/help/321185/how-to-determine-the-version-edition-and-update-level-of-sql-server-an

3. 漏洞描述

CVE-2020-0618漏洞：根据分析，漏洞由ReportingServicesWebServer.dll文件中的Microsoft.Reporting.WebForms.BrowserNavigationCorrector方法不安全的反序列化触发，有权限访问/ReportViewer.aspx页面的恶意攻击者可以通过POST提交攻击代码，成功利用漏洞能获取SQL Server Reporting Services管理权限或系统管理权限。

4. 缓解措施

高危：目前漏洞细节和利用代码已经公开，建议及时测试并安装安全更新补丁，或部署必要的安全设备拦截恶意攻击代码。

临时缓解措施：

可以限制对Web目录/ReportServer/的访问来缓解漏洞利用。

微软补丁更新建议：微软每月第二周周二会定期发布安全更新补丁，建议企业订阅和关注官方安全更新公告，及时测试补丁或做更新。