怀登表示微软的漏洞导致美国医院系统被黑客攻击 - 彭博社
Ryan Gallagher, Jake Bleiberg
俄勒冈州的民主党参议员罗恩·怀登(Ron Wyden),在华盛顿进行确认听证会时。
摄影师:埃里克·李/彭博社美国参议员罗恩·怀登表示,微软公司的明显网络安全缺陷导致了对美国医院系统的勒索软件攻击,并呼吁联邦贸易委员会进行调查。
在周三发给联邦贸易委员会主席安德鲁·弗格森(Andrew Ferguson)的信中,怀登指责微软“严重的网络安全失职”,并称这导致了对美国关键基础设施的勒索软件攻击。怀登提到了2024年在美国最大的非营利健康系统之一的Ascension发生的泄露事件。此次入侵导致Ascension许多医院的计算机关闭,手术被暂停,并盗取了超过500万名患者的敏感数据。
怀登表示,他办公室的调查发现,Ascension的黑客攻击始于一名承包商使用微软的必应搜索引擎进行搜索时,点击了一个恶意链接,导致承包商无意中下载了恶意软件。这使得黑客能够访问Ascension的计算机网络。
根据怀登的说法,攻击者随后通过利用一种称为RC4的不安全加密技术获得了特权账户的访问权限,该技术在Windows计算机上默认支持。这种黑客方法被称为Kerberoasting,公司将其描述为一种网络攻击,入侵者旨在通过针对一种称为Kerberos的认证协议来收集密码。
根据怀登的说法,微软使用“古老、不安全”的加密技术使黑客能够破解特权账户的密码。
微软发言人大卫·卡迪表示,公司与怀登的办公室进行了接触“并将继续倾听并回答他们或其他政府人员的问题。”卡迪表示,RC4是一个“旧标准”,公司不鼓励其使用,因此它在其流量中占比不到千分之一。
卡迪谈到RC4时表示:“我们正在逐步减少客户使用它的程度,同时提供强烈的警告和尽可能安全使用的建议。我们在路线图上计划最终禁用它的使用。”
卡迪补充说,微软已经移除了另一个“有问题”的标准,并且从2026年开始,微软的凭证管理系统Active Directory的新安装将默认禁用RC4。卡迪表示,微软尚未完全禁用RC4的使用,因为这样的举动会干扰许多客户系统。
联邦贸易委员会发言人朱莉安娜·格鲁恩瓦尔德·亨德森拒绝对怀登的信件发表评论。升天公司没有回应寻求评论的电话和电子邮件。
怀登写道:“由于微软的危险软件工程决策,该公司在很大程度上对其企业和政府客户隐瞒了这些决策,医院或其他组织中的单个个体点击错误链接可能迅速导致整个组织的勒索软件感染。微软完全未能阻止甚至减缓其危险软件所导致的勒索软件的蔓延。”
怀登表示,他在2024年7月首次向微软高级官员提出了Kerberoasting问题,这促使该公司在10月发布了一篇博客文章,向组织提供了如何防范这种黑客技术的建议。该公司当时表示正在进行更新,以禁用RC4加密。但该更新尚未发布。
因此,怀登认为,大多数作为微软客户的公司、政府机构和非营利组织仍然容易受到这种黑客技术的攻击。
这位参议员补充说,如果没有FTC的行动,“微软的网络安全疏忽文化,加上其对企业操作系统市场的事实垄断,构成了严重的国家安全威胁,并使额外的黑客攻击不可避免。”
近年来,怀登一直是微软的常规批评者,原因是该公司一系列被指控的安全漏洞。在2024年,美国政府的一份报告指出,“不充分”的安全文化是怀疑的中国黑客能够利用该公司技术中的漏洞窃取美国官员电子邮件的原因之一。作为回应,该公司承诺进行一次雄心勃勃的安全改革。
在7月,微软表示,一次怀疑由中国政府支持的网络攻击利用了微软SharePoint服务器中的漏洞,侵入了全球超过400个组织,包括美国国家核安全局,该部门负责设计和维护国家的核武器。
我们本周学到了什么
美国对在东南亚运营的网络诈骗中心网络实施了制裁,旨在加大对 allegedly 使用强迫劳动从美国人那里骗取数十亿美元的操作的压力。
财政部周一宣布的行动,针对 缅甸的九个实体,这些实体据称在已经被制裁的克伦民族军的保护下运作,以及在柬埔寨的10个实体,美国称这些地方的工人被迫进行虚拟货币投资诈骗。
“东南亚的网络诈骗产业不仅威胁到美国人的福祉和金融安全,还使成千上万的人遭受现代奴隶制,”财政部恐怖主义和金融情报副部长约翰·赫利在 一份新闻稿中表示。
财政部表示,去年美国人因东南亚的诈骗损失超过100亿美元。
这一举措是美国总统唐纳德·特朗普政府针对其所称的大规模网络欺诈上升的系列行动中的最新一步,这种欺诈在东南亚 迅速蔓延。根据美国财政部的说法,求职者常常在虚假借口下被诱骗到劳动营,然后在暴力威胁下被迫进行在线诈骗活动。
我们正在阅读的内容
- 纽约大学团队 开发了一种人工智能驱动的恶意软件,安全研究人员 在网上发现了该恶意软件。
- 前WhatsApp员工 表示老板忽视了 网络安全缺陷。
- 微软表示,红海电缆被切断后,Azure服务罚款 。
- Anthropic 对中国拥有的公司 的人工智能服务进行限制。
- 自动化的敲诈间谍软件 拍摄受害者观看色情内容时的网络摄像头照片。
- 中国黑客假装 在贸易谈判中是美国顶级立法者。
- 联邦应急管理局 在网络事件和员工解雇后开始进行安全改革。
**有新闻线索吗?**你可以联系瑞安·加拉赫 [email protected] 和杰克·布莱伯格 [email protected]。你也可以使用我们的 SecureDrop 安全且匿名地发送文件给我们。
更多来自彭博社
深入了解科技 和更多彭博科技通讯直接发送到你的邮箱:
- 游戏进行中 深入探讨视频游戏行业
- 电力开启 获取苹果新闻、消费科技新闻等
- 屏幕时间 了解好莱坞与硅谷的碰撞
- 声音片段 报道播客、音乐产业和音频趋势
- 问与AI 解答你关于人工智能的所有问题