微软2月将进行Zerologon漏洞第二阶段修补

去年9月披露的Zerologon漏洞，微软8月发布最重要的修补程序，本周再提醒用户，将于2月9日将发布第二阶段修补，默认使AD域名内的计算机使用安全连接。

编号CVE-2020-1472的Zerologon出现在Windows Netlogon远程协议中。攻击者只需对有漏洞的域名控制器（Domain Controller）创建TCP连接，即可开采本漏洞，无需任何登录帐密即可取得。结果是攻击者得以管控整个Windows域名，包括在公司网络上任何一台设备上执行恶意应用程序。本漏洞风险评分高达最高的10.0。微软于去年8月Patch Tuesday，提供第一阶段的修补。

微软也于10月公布对企业的安全指引，除了安装修补程序外，还包括找出哪些设备正执行不安全连接、封锁非合规设备的不安全连接，并激活Domain Controller (DC) 执行模式，以便域名内计算机和Active Directory域名控制站（DC）之间的Netlogon安全信道中强制执行Secure RPC连接，借此解决Netlogon漏洞的隐忧。当时微软预告，会在2021年2月初启动强制执行模式。

微软本周再度提醒，2021年2月9日微软将发布安全更新，以便默认启动DC的执行模式（enforcement mode）。微软安全回应中心工程部门副总裁Aanchal Gupta指出，这个动作将封锁未合规设备的不安全连接。DC执行模式下，所有Windows或非Windows设备访问DC的Netlogon安全信道，都需使用安全RPC连接，除非用户为非合规的设备加入例外规则，明示允许该账号使用不安全连接。微软再度提醒企业用户先安装CVE-2020-1472的修补程序。

去年9月间伊朗黑客开始针对这个Windows漏洞积极活动，美国国土安全部也发出紧急修补指令，称有中国黑客利用这个漏洞进行攻击，呼吁政府单位及企业尽快修补漏洞。