十年漏洞未修复引发医疗系统勒索攻击
美国参议员罗恩·怀登(Ron Wyden)正式要求联邦贸易委员会(FTC)调查微软的"重大网络安全过失",这些过失导致针对医疗等关键基础设施的大规模勒索软件攻击。在一份致 FTC 主席的四页信函中,这位俄勒冈州民主党人详细记录了微软的软件工程决策如何助长了勒索攻击。
"微软就像向受害者兜售消防服务的纵火犯,"怀登在信中写道。他指出微软在构建盈利性网络安全业务的同时,却放任其核心产品存在安全漏洞。信函详细分析了 2024 年 2 月针对 Ascension Health 的勒索攻击案例——该事件导致 560 万患者记录泄露,揭示了微软默认安全配置如何让黑客从单台受感染笔记本电脑扩散到整个组织的网络入侵。
一次点击瘫痪医院系统
Ascension 攻击始于一名承包商使用医院笔记本电脑点击了微软必应搜索结果中的恶意链接。恶意软件通过微软 Active Directory 服务器横向扩散,最终攻陷了管理员账户。攻击者利用了名为 Kerberoasting 的技术,该技术基于微软仍默认支持的 RC4 加密算法——这种 1980 年代的技术已被联邦机构警告淘汰十余年。
"这正是 Ascension 事件中发生的情况,一个脆弱的默认设置最终演变成勒索灾难,"Greyhound Research 首席分析师 Sanchit Vir Gogia 表示。怀登在信中强调:"由于微软危险的软件工程决策(这些决策大多对公司及政府客户隐瞒),医院等机构的员工点击错误链接会迅速导致全组织范围的勒索软件感染。"
安全失效背后的技术真相
安全专家长期批评微软对过时加密标准的依赖。"RC4 早就该淘汰,但它仍潜伏在 Active Directory 中,持续助长 Kerberoasting 等攻击,"Gogia 指出。微软以向后兼容性为由辩解,但 Gogia 认为:"经过十余年警告,这种说辞越来越站不住脚。"
怀登详细说明:"微软持续支持古老不安全的 RC4 加密技术,使黑客在获得企业网络任意电脑访问权后就能破解管理员特权账户密码,不必要地将客户暴露于勒索软件等网络威胁中。"
200 亿美元的安全业务悖论
微软安全部门年收入已超 200 亿美元,其中大部分来自弥补核心产品缺陷的功能。"像高级日志记录等功能本应是核心产品组成部分,却被设为付费功能,直到 Exchange Online 遭黑客攻击才被迫开放,"Gogia 指出。
怀登批评道:"微软没有为客户提供安全软件,反而建立了一个价值数十亿美元的副业,向有支付能力的组织兜售网络安全附加服务。"这导致企业客户面临双重收费问题:"CIO 们感觉被收了两次费——一次购买平台,另一次购买安全感,"Gogia 解释道。
失信承诺与监管压力
2024 年 7 月,怀登团队向微软高管通报 Kerberoasting 威胁时,特别要求微软用通俗英语发布明确指南。但微软仅在官网冷门板块发布了技术博客,且承诺禁用 RC4 的更新至今(11 个月后)仍未发布。
Gogia 认为:"基于默认设置缺陷对微软提起全面 FTC 诉讼仍不太可能。"但他指出:"网络安全审查委员会去年的报告使情况复杂化,该报告认定微软安全文化存在缺陷,并指责其在政府邮件泄露事件中犯了可避免的错误。"
企业 CISO 的主动防御
企业安全负责人已开始自主行动。"CISO 们表现得仿佛怀登的指控已被证实,"Gogia 表示,"他们手动禁用 RC4,要求服务账户使用更长密码,全面推行多因素认证。"组织正越来越多地利用采购合同施压:"合同开始包含要求配置报告和基线保护的条款,有时甚至以迁移工作负载相威胁,"Gogia 补充道。
全行业影响深远
怀登的调查可能重塑整个软件行业的安全观。"如果怀登的关切得到重视,影响将超越微软,"Gogia 说,"将不安全默认设置视为过失将改变软件的构建和销售方式。"
怀登发出严厉警告:"微软完全未能阻止甚至减缓由其危险软件助长的勒索软件肆虐",并指出"微软的网络安全疏忽文化,加上其对企业操作系统市场的事实垄断,构成严重国家安全威胁,使更多黑客攻击不可避免。"正如 Gogia 总结:"Ascension 事件成为警示:一个被忽视的设置可能摧毁整个行业,默认设置已失去信任。"
参考来源:
