随着数字时代的不断发展,网络安全已成为全球关注的焦点,尤其是在关键基础设施和医疗系统面临日益严峻的勒索软件攻击威胁时。美国参议员罗恩·怀登(Ron Wyden)近日敦促联邦贸易委员会(FTC)对微软公司进行彻底调查,指责微软未能妥善应对其软件中的严重安全缺陷,导致勒索软件攻击事件频繁发生,严重危及国家安全和民众利益。怀登指出,微软集团作为企业操作系统市场的事实垄断者,其"严重的网络安全疏忽"行为不仅令攻击成为可能,更令安全隐患难以消除。他形象地比喻微软如同一个纵火犯,却向受害者兜售灭火服务,凸显微软未能尽到的责任感。怀登的呼吁源于他办公室获得的一批新情报,重点揭示了一起影响广泛的医疗行业勒索软件攻击事件。去年,知名医疗系统Ascension遭遇黑客组织Black Basta的勒索攻击,导致约560万人个人与医疗信息被盗。
此次攻击不仅造成敏感数据泄露,还严重影响了电子健康记录的访问,属于过去一年中第三大医疗信息安全事件。据了解,攻击的起因是一名承包商在使用微软搜索引擎Bing进行网络查询时点击了恶意链接,导致系统感染恶意软件。攻击者随后借助微软软件中的"危险且不安全的默认设置",成功获取了对Ascension网络关键部分的高级访问权限。其中,攻击依赖于名为Kerberoasting的技术漏洞,该技术针对微软Active Directory中的Kerberos身份认证协议进行攻击,能提取加密服务账户的凭证信息。吴登办公室强调,这类攻击利用了微软软件中默认开启的RC4加密算法缺陷。RC4(Rivest Cipher 4)是一种1987年设计的流密码,尽管早在2015年就被互联网工程任务组(IETF)禁止用于TLS协议,因为其存在多种加密安全性不足,易被攻击者破译明文。
然而,微软软件仍默认支持RC4加密,成为攻击者猜测密码的捷径。怀登团队称,微软在2024年7月29日曾被敦促发布风险警告,尽管微软于同年10月发布了用户保护建议,并计划在未来Windows 11 24H2及Windows Server 2025版本中逐步取消RC4的支持,但当前状态导致大量用户尤其是弱密码账户暴露危险。微软的软件未强制要求特权账户密码必须达14字符以上,进而增加了被Kerberoasting攻击成功的风险。微软虽然在Windows Server 2025中禁用了对旧式数据加密标准DES的支持,并对Kerberos票证加密做了强化,如不再允许用基于RC4的票据加密方式,但普及和回退兼容问题让用户整体环境仍存在安全漏洞。为应对Kerberoasting攻击,微软建议用户采用委派式托管服务账户或组托管服务账户,设置随机且长度不低于14字符的强密码,使用AES加密算法进行服务票据加密,并定期审计带有服务主体名称的用户账户。然怀登指出微软对安全建议执行力度不足,默认配置未能有效保障使用者安全。
微软回应称,尽管RC4已是过时标准,公司官方文档和软件中均不鼓励使用,但因完全移除RC4会影响部分客户系统的正常运行,因此采取逐步废止策略,并承诺加强提醒和安全引导。同时,微软表示,2026年第一季度新安装的Windows Server 2025域将默认禁用RC4,新增域环境将天然抵御相关攻击。对于已存在的旧版本部署,微软也规划了逐步完善的安全缓解措施,兼顾兼容性和现有客户服务的连续性。此次事件并非微软首次陷入网络安全争议。去年美国网络安全审查委员会(CSRB)发布报告,严厉批评微软未及时修补漏洞,导致被认为是国家支持的中国黑客攻击Storm-0558成功入侵全球多家机构的Microsoft Exchange邮箱,受害组织和个人数量众多。怀登团队认为,微软凭借市场支配地位和庞大的政府合同,在网络安全问题上缺乏足够重视和及时整改,进一步加剧了风险。
网络安全专家指出,这反映了企业网络安全领域的一个普遍难题,即如何在保证旧系统兼容性的前提下实现安全默认配置缺失,导致整个国家基础设施面临连锁安全风险。作为主导型技术供应商,微软的设计和安全决策对整个生态环境产生深远影响。只有通过强化安全设计实践和提高默认安全标准,才能有效降低潜在风险。总体来说,此次怀登对微软的调查请求体现了网络安全与国家安全之间日益紧密的联系。随着更多攻击利用底层技术和默认配置的弱点,企业和公共机构必须推动采用更具安全性和适应性的系统设计。仅靠事后修复无法应对当今高级持续性威胁,安全防护需深入系统架构之中,打牢根基。
未来微软及其他大型科技企业在产品规划和安全策略上的每一次调整,都可能对全球网络生态安全格局产生重要影响。关注此类事件的广大信息安全专业人士和从业用户,应保持高度警惕,及时更新系统、加强密码管理和权限配置,提升整体安全免疫力,以抵御复杂多变的威胁,保证数据和服务安全可靠。 。
