美国参议员罗恩·怀登呼吁联邦贸易委员会 (FTC) 对微软进行调查,理由是他所谓的“严重网络安全疏忽”,指控这家科技巨头故意在其 Windows 操作系统中使用危险的过时加密形式,导致包括主要医疗保健系统在内的美国关键基础设施遭受毁灭性的勒索软件攻击。
参议员怀登在2025年9月10日致美国联邦贸易委员会主席安德鲁·弗格森的一封信中指出,微软不安全的默认设置为网络犯罪分子创造了肥沃的土壤,直接威胁到美国的国家安全。
这封信重点介绍了一种名为“ Kerberoasting ”的黑客技术,该技术利用了微软对 RC4 的持续支持,RC4 是一种在 20 世纪 80 年代开发的过时的加密技术。
虽然有高级加密标准 (AES) 等现代安全加密标准可用,但微软并未将其作为其广泛使用的Active Directory软件的默认要求。
Ascension勒索软件攻击
这封信详细描述了 2024 年针对美国最大的非营利性医疗系统之一 Ascension 的勒索软件攻击,这是微软涉嫌失败的一个典型例子。
事件起因是一名承包商点击了微软必应搜索结果中的恶意链接,无意中下载了恶意软件。
从这个单一入口点开始,黑客跨越 Ascension 的网络并使用 Kerberoasting 技术利用该组织的 Microsoft Active Directory 服务器中弱的 RC4 加密。
这使他们获得管理权限,在数千台计算机上部署勒索软件,并窃取 560 万患者的敏感数据。
此次袭击严重破坏了 Ascension 提供患者护理的能力。
参议员怀登的办公室表示,已于 2024 年 7 月敦促微软高级官员就 Kerberoasting 带来的威胁发出明确警告。
作为回应,微软于 2024 年 10 月发布了一篇技术性很强的博客文章,建议采取缓解措施,并承诺在未来的软件更新中禁用易受攻击的 RC4 加密。
然而,怀登批评该公司的信息披露不充分,并指出这些信息发布在公司网站的不起眼的地方,没有进行有意义的宣传。
此外,十一个月过去了,承诺的安全更新仍未发布,导致无数组织面临安全风险。
参议员指出微软不作为的虚伪性,因为包括 CISA、FBI 和 NSA 在内的美国网络安全机构都已发布公共指导,特别警告不要进行 Kerberoasting 攻击,并建议禁用 RC4 加密。
2024 年 9 月,澳大利亚国家安全机构联合 CISA 和 NSA 发布了综合指南,指出 Kerberoasting 是针对微软 Active Directory 软件的最大威胁。
怀登还引用了网络安全审查委员会的一份报告,该报告发现微软的安全文化“不足,需要彻底改革”,这是在 2023 年 7 月中国对美国政府机构进行大规模黑客攻击之后得出的结论。
参议员最后指责微软通过销售附加网络安全服务从其自身不安全的产品中获利,并将该公司比作“向受害者出售消防服务的纵火犯”。
他敦促联邦贸易委员会立即采取行动,追究微软垄断和疏忽行为的责任。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
