美国网络安全审查委员会(US Cyber Safety Review Board)的一份新报告发现,去年微软本可以阻止中国黑客通过其微软Exchange在线软件入侵美国政府的电子邮件。该事件被描述为微软"一连串的安全失误",使中国国家支持的黑客能够访问 22 个组织的在线电子邮件收件箱,影响到 500 多人,其中包括从事国家安全工作的美国政府雇员。
美国国土安全部(DHS)发布了一份措辞严厉的报告,认为这次黑客攻击是"可以预防的",微软内部的一些决策导致了"企业文化将企业安全投资和严格的风险管理置于次要地位"。
黑客使用获取的微软账户(MSA)消费者密钥伪造了访问网络 Outlook(OWA)和 Outlook.com 的令牌。报告明确指出,微软仍不确定密钥到底是如何被盗的,但主要的推测是密钥是崩溃转储文件的一部分。微软在 9 月份公布了这一理论,并在最近更新了博客文章,承认"我们没有发现包含受影响密钥材料的崩溃转储"。
由于无法访问崩溃转储,微软无法确定密钥到底是如何被窃取的。微软在其更新的博文中说:"我们的主要假设仍然是,操作失误导致密钥材料离开了安全令牌签名环境,随后在调试环境中通过一个被泄露的工程账户被访问。"
微软在 11 月向网络安全审查委员会承认其 9 月份的博客文章不准确,但"在委员会多次询问微软是否计划发布更正"后,微软在几个月后的 3 月 12 日才更正了该文章。虽然微软全力配合了委员会的调查,但结论是微软的安全文化需要彻底改变。
网络安全审查委员会表示:"委员会认为,这次入侵是可以预防的,根本不应该发生。"委员会还得出结论,"微软的安全文化不足,需要进行彻底改革,特别是考虑到该公司在技术生态系统中的核心地位,以及客户对该公司保护其数据和业务的信任程度。"
就在委员会得出这一结论的同一周,微软推出了其专为网络安全专业人士设计的人工智能聊天机器人--Copilot for Security。作为消费模式的一部分,微软将向企业收取每小时4美元的费用,以使用这一最新的人工智能工具。
Nobelium 是SolarWinds 攻击事件的幕后黑手,它曾在数月内偷窥了一些微软高管的电子邮箱。微软最近承认,该组织访问了公司的源代码库和内部系统。
继去年美国政府电子邮件泄露事件和近年来类似的网络安全攻击事件之后,微软公司目前正试图全面改革其软件安全。微软新的"安全未来计划"(Secure Future Initiative,SFI)旨在全面改革其软件和服务的设计、构建、测试和运行方式。这是自2003年破坏性的Blaster蠕虫病毒导致Windows XP机器大面积中招后,微软于2004年推出安全开发生命周期(SDL)以来,在安全方面做出的最大改变。