Microsoft补丁漏洞披露和Snort覆盖范围

微软3月10号发布了每月的安全更新，公开了许多产品的漏洞并发布了相应的更新。本月的  补丁程序涵盖117个漏洞，其中25个被视为严重漏洞。还有一个中等漏洞，其中91个被认为很重要。

本月的补丁包括对Microsoft Media Foundation，GDI + API和Windows Defender的更新。

严重漏洞

微软本月披露了25个关键漏洞，我们将在下面重点介绍其中的20个。

CVE-2020-0684是Microsoft Windows中的一个远程执行代码漏洞，如果用户打开特制的恶意.LNK文件，则会出现此漏洞。该文件可以在可移动驱动器或远程共享上呈现给受害者，然后在打开时将执行文件中嵌入的恶意二进制文件。

CVE-2020-0801，CVE-2020-0807，CVE-2020-0809和CVE-2020-0869是Microsoft Media Foundation中的内存损坏漏洞。所有这些都可以使攻击者获得在受害机器上安装程序，查看，更改或删除数据或创建新用户帐户的能力。用户可以通过打开特制的恶意文件或网页来触发此漏洞。攻击者最有可能尝试通过带有恶意链接和附件的垃圾邮件来利用此漏洞。

CVE-2020-0823，CVE-2020-0825，CVE-2020-0826，CVE-2020-0827，CVE-2020-0828，CVE-2020-0829，CVE-2020-0831，CVE-2020-0832，CVE- 2020-0833和CVE-2020-0848是ChakraCore脚本引擎处理内存中对象的方式中的所有内存损坏漏洞。如果成功，则攻击者可能以一种使受害者计算机可以在当前用户的上下文中执行任意代码的方式来破坏受害者计算机的内存。

CVE-2020-0824和CVE-2020-0847是VBScript引擎中的远程代码执行漏洞。攻击者可以通过诱使用户访问Internet Explorer Web浏览器中的特制网站，或通过在承载Internet Explorer呈现引擎的应用程序或Microsoft Office文档中标记一个标记为“初始化安全”的ActiveX控件来利用这些漏洞。这些错误特别需要用户交互，并且会依赖攻击者的某种形式的社交工程

CVE-2020-0881和CVE-2020-0883是GDI +中的远程代码执行漏洞，GDI +是C和C ++程序员的API。攻击者可以通过托管特制网站，然后诱使用户打开它来利用这些错误。此外，受害者可能会打开旨在利用此漏洞的恶意文档，该文档是通过电子邮件或任何其他文件共享方法提供给他们的。

这些是其他关键漏洞：

• CVE-2020-0768
• CVE-2020-0811
• CVE-2020-0812
• CVE-2020-0816
• CVE-2020-0830

重要漏洞

此版本还包含91个重要漏洞，我们将重点介绍其中的五个。

CVE-2020-0850，CVE-2020-0851，CVE-2020-0852和CVE-2020-0855都是Microsoft Word处理内存中对象的方式中存在的远程代码执行漏洞。如果成功，攻击者可以使用这些错误通过Word文档在当前用户的上下文中执行恶意操作。攻击者可能会使用垃圾邮件来尝试分发这些恶意文档。

CVE-2020-0761是Microsoft Office中的特权提升漏洞。攻击者可以用特制的损坏文件替换正常合法的文件，然后利用此错误在SYSTEM级别执行OLicenseHeartbeat任务。该漏洞可以与本月披露的其他远程代码执行漏洞一起使用，以比平常更高的特权进行更严重的攻击。

其他重要漏洞是：

• CVE-2020-0645
• CVE-2020-0690
• CVE-2020-0700
• CVE-2020-0758
• CVE-2020-0762
• CVE-2020-0763
• CVE-2020-0769
• CVE-2020-0770
• CVE-2020-0771
• CVE-2020-0772
• CVE-2020-0773
• CVE-2020-0774
• CVE-2020-0775
• CVE-2020-0776
• CVE-2020-0777
• CVE-2020-0778
• CVE-2020-0779
• CVE-2020-0780
• CVE-2020-0781
• CVE-2020-0783
• CVE-2020-0785
• CVE-2020-0786
• CVE-2020-0787
• CVE-2020-0788
• CVE-2020-0789
• CVE-2020-0791
• CVE-2020-0793
• CVE-2020-0795
• CVE-2020-0797
• CVE-2020-0798
• CVE-2020-0799
• CVE-2020-0800
• CVE-2020-0802
• CVE-2020-0803
• CVE-2020-0804
• CVE-2020-0806
• CVE-2020-0808
• CVE-2020-0810
• CVE-2020-0813
• CVE-2020-0814
• CVE-2020-0815
• CVE-2020-0819
• CVE-2020-0820
• CVE-2020-0822
• CVE-2020-0834
• CVE-2020-0835
• CVE-2020-0840
• CVE-2020-0841
• CVE-2020-0842
• CVE-2020-0843
• CVE-2020-0844
• CVE-2020-0845
• CVE-2020-0853
• CVE-2020-0854
• CVE-2020-0857
• CVE-2020-0858
• CVE-2020-0859
• CVE-2020-0860
• CVE-2020-0861
• CVE-2020-0863
• CVE-2020-0864
• CVE-2020-0865
• CVE-2020-0866
• CVE-2020-0867
• CVE-2020-0868
• CVE-2020-0871
• CVE-2020-0872
• CVE-2020-0874
• CVE-2020-0876
• CVE-2020-0877
• CVE-2020-0879
• CVE-2020-0880
• CVE-2020-0882
• CVE-2020-0884
• CVE-2020-0885
• CVE-2020-0887
• CVE-2020-0891
• CVE-2020-0892
• CVE-2020-0893
• CVE-2020-0894
• CVE-2020-0896
• CVE-2020-0897
• CVE-2020-0898
• CVE-2020-0902
• CVE-2020-0903
• CVE-2020-0849

重要漏洞

还有一个中等漏洞，CVE-2020-0765。

覆盖范围 

为了响应这些漏洞披露，Talos发布了新的SNORTⓇ规则集，该规则集可检测利用其中某些漏洞的尝试。请注意，其他规则可能会在将来的某个日期发布，而当前规则可能会发生变化，以待其他信息处理。Firepower客户应通过更新其SRU使用最新的规则集更新。开源Snort订户规则集客户可以通过在Snort.org上下载最新版本的规则包来保持最新状态。