《彭博社》：SharePoint漏洞事件加剧微软网络安全改革压力（MSFT）

7月22日纽约一家微软门店。

摄影师：Adam Gray/彭博社三个月前，微软公司发布了一份关于其称之为史上最大规模网络安全工程的进展报告。

因卷入多起重大黑客攻击事件，这家软件巨头于2023年底启动"安全未来计划"承诺全面改革网络安全体系。四月报告指出已取得显著进展，包括培养员工"安全第一思维"及在工程目标实现方面取得突破。

报告补充道：“我们的进步不会一帆风顺。”

这一预言很快得到验证。周二微软指控三个中国黑客组织（其中两个与北京政府有关）利用SharePoint文档管理软件漏洞发起全球攻击，目标包括美国教育部等政府机构和企业。

网络安全研究人员表示，攻击者自7月7日起就开始利用这些漏洞。

目前尚无法评估全部损失。该漏洞影响的是在本地网络（非云端）管理SharePoint软件的客户，虽然潜在受害者范围因此受限，但考虑到微软产品的广泛使用，受影响数量仍可能相当可观。

阅读更多：微软称中国黑客正利用SharePoint漏洞发起攻击

曾在比尔·克林顿和乔治·W·布什政府担任网络安全官员的罗杰·克雷西表示，像微软这样占据主导地位的企业一旦出现失误，其后果将非常严重，且因其规模庞大而难以做出改变。

“当一家供应商在我们的数字生态系统中无处不在时，其失误造成的冲击波将是巨大的，“克雷西说道，他是Mountain Wave Ventures的合伙人，其客户包括微软的一些竞争对手。“这再次提醒我们，微软未能将安全作为优先事项，正在影响我们的国家和经济安全。”

微软迅速发布了针对这些漏洞的补丁，尽管该公司在周二的博客文章中表示，它"高度确信"黑客将继续利用这些漏洞攻击未打补丁的SharePoint系统。

这次入侵事件给这家正试图加强其网络防御和声誉的公司带来了又一次公关危机。微软是全球最大的软件供应商，这使其成为网络间谍和犯罪分子的目标。它同时也是最大的网络安全产品销售商。

“作为’安全未来计划’的一部分，我们专注于加速和加强我们的安全事件响应，“微软发言人弗兰克·肖表示。“在此次事件中，我们迅速采取行动，在72小时内提供了详细的客户指导并发布了三个新的安全更新，以帮助防范对手攻击。”

几乎没有证据表明，之前与微软有关联的重大网络攻击损害了该公司的盈利。彭博情报的高级分析师阿努拉格·拉纳表示，这甚至可能对微软有利，因为它可以说服客户将SharePoint迁移到这家科技巨头的云端，他形容从长远来看，云端更安全且成本更低。

不太清楚的是，最新的入侵事件会对微软修复其网络安全信誉和安抚长期批评者的努力产生什么影响。

其中一位批评者，来自俄勒冈州的民主党美国参议员罗恩·怀登表示，政府机构已经变得依赖于“一家不仅不关心安全，还通过销售高级网络安全服务来解决其产品缺陷而赚取数十亿美元的公司。”

“每次由疏忽导致的黑客攻击都导致政府在微软的网络安全服务上增加支出，”怀登在被问及对SharePoint漏洞的回应时在一份声明中表示。“除非政府停止奖励微软，否则永远无法摆脱这个循环。”

在其四月份的报告中，微软将“安全未来倡议”描述为一项雄心勃勃、需要多年时间的事业。例如，在28个工程目标中，有5个接近完成，11个取得了显著进展，微软仍在努力完成其他目标。

“威胁形势将继续演变，导致新的漏洞和安全事件，”报告称。“技术进步将创造新的方法来提升安全性，同时也会带来新的问题需要解决。每一个变化都是我们与客户及行业合作，加强集体防御的机会。”