十年漏洞未修復引發醫療系統勒索攻擊

美國參議員羅恩·懷登(Ron Wyden)正式要求聯邦貿易委員會(FTC)調查微軟的"重大網絡安全過失"，這些過失導致針對醫療等關鍵基礎設施的大規模勒索軟件攻擊。在一份致FTC主席的四頁信函中，這位俄勒岡州民主黨人詳細記錄了微軟的軟件工程決策如何助長了勒索攻擊。

"微軟就像向受害者兜售消防服務的縱火犯，"懷登在信中寫道。他指出微軟在構建盈利性網絡安全業務的同時，卻放任其核心產品存在安全漏洞。信函詳細分析了2024年2月針對Ascension Health的勒索攻擊案例——該事件導致560萬患者記錄泄露，揭示了微軟默認安全配置如何讓黑客從單臺受感染筆記本電腦擴散到整個組織的網絡入侵。

一次點擊癱瘓醫院系統

Ascension攻擊始于一名承包商使用醫院筆記本電腦點擊了微軟必應搜索結果中的惡意鏈接。惡意軟件通過微軟Active Directory服務器橫向擴散，最終攻陷了管理員賬戶。攻擊者利用了名為Kerberoasting的技術，該技術基于微軟仍默認支持的RC4加密算法——這種1980年代的技術已被聯邦機構警告淘汰十余年。

"這正是Ascension事件中發生的情況，一個脆弱的默認設置最終演變成勒索災難，"Greyhound Research首席分析師Sanchit Vir Gogia表示。懷登在信中強調："由于微軟危險的軟件工程決策（這些決策大多對公司及政府客戶隱瞞），醫院等機構的員工點擊錯誤鏈接會迅速導致全組織范圍的勒索軟件感染。"

安全失效背后的技術真相

安全專家長期批評微軟對過時加密標準的依賴。"RC4早就該淘汰，但它仍潛伏在Active Directory中，持續助長Kerberoasting等攻擊，"Gogia指出。微軟以向后兼容性為由辯解，但Gogia認為："經過十余年警告，這種說辭越來越站不住腳。"

懷登詳細說明："微軟持續支持古老不安全的RC4加密技術，使黑客在獲得企業網絡任意電腦訪問權后就能破解管理員特權賬戶密碼，不必要地將客戶暴露于勒索軟件等網絡威脅中。"

200億美元的安全業務悖論

微軟安全部門年收入已超200億美元，其中大部分來自彌補核心產品缺陷的功能。"像高級日志記錄等功能本應是核心產品組成部分，卻被設為付費功能，直到Exchange Online遭黑客攻擊才被迫開放，"Gogia指出。

懷登批評道："微軟沒有為客戶提供安全軟件，反而建立了一個價值數十億美元的副業，向有支付能力的組織兜售網絡安全附加服務。"這導致企業客戶面臨雙重收費問題："CIO們感覺被收了兩次費——一次購買平臺，另一次購買安全感，"Gogia解釋道。

失信承諾與監管壓力

2024年7月，懷登團隊向微軟高管通報Kerberoasting威脅時，特別要求微軟用通俗英語發布明確指南。但微軟僅在官網冷門板塊發布了技術博客，且承諾禁用RC4的更新至今（11個月后）仍未發布。

Gogia認為："基于默認設置缺陷對微軟提起全面FTC訴訟仍不太可能。"但他指出："網絡安全審查委員會去年的報告使情況復雜化，該報告認定微軟安全文化存在缺陷，并指責其在政府郵件泄露事件中犯了可避免的錯誤。"

企業CISO的主動防御

企業安全負責人已開始自主行動。"CISO們表現得仿佛懷登的指控已被證實，"Gogia表示，"他們手動禁用RC4，要求服務賬戶使用更長密碼，全面推行多因素認證。"組織正越來越多地利用采購合同施壓："合同開始包含要求配置報告和基線保護的條款，有時甚至以遷移工作負載相威脅，"Gogia補充道。

全行業影響深遠

懷登的調查可能重塑整個軟件行業的安全觀。"如果懷登的關切得到重視，影響將超越微軟，"Gogia說，"將不安全默認設置視為過失將改變軟件的構建和銷售方式。"

懷登發出嚴厲警告："微軟完全未能阻止甚至減緩由其危險軟件助長的勒索軟件肆虐"，并指出"微軟的網絡安全疏忽文化，加上其對企業操作系統市場的事實壟斷，構成嚴重國家安全威脅，使更多黑客攻擊不可避免。"正如Gogia總結："Ascension事件成為警示：一個被忽視的設置可能摧毀整個行業，默認設置已失去信任。"