《彭博社》：SharePoint漏洞事件加劇微軟網絡安全改革壓力（MSFT）

7月22日紐約一家微軟門店。

攝影師：Adam Gray/彭博社三個月前，微軟公司發佈了一份關於其稱之為史上最大規模網絡安全工程的進展報告。

因捲入多起重大黑客攻擊事件，這家軟件巨頭於2023年底啓動"安全未來計劃"承諾全面改革網絡安全體系。四月報告指出已取得顯著進展，包括培養員工"安全第一思維"及在工程目標實現方面取得突破。

報告補充道：“我們的進步不會一帆風順。”

這一預言很快得到驗證。週二微軟指控三個中國黑客組織（其中兩個與北京政府有關）利用SharePoint文檔管理軟件漏洞發起全球攻擊，目標包括美國教育部等政府機構和企業。

網絡安全研究人員表示，攻擊者自7月7日起就開始利用這些漏洞。

目前尚無法評估全部損失。該漏洞影響的是在本地網絡（非雲端）管理SharePoint軟件的客户，雖然潛在受害者範圍因此受限，但考慮到微軟產品的廣泛使用，受影響數量仍可能相當可觀。

閲讀更多：微軟稱中國黑客正利用SharePoint漏洞發起攻擊

曾在比爾·克林頓和喬治·W·布什政府擔任網絡安全官員的羅傑·克雷西表示，像微軟這樣佔據主導地位的企業一旦出現失誤，其後果將非常嚴重，且因其規模龐大而難以做出改變。

“當一家供應商在我們的數字生態系統中無處不在時，其失誤造成的衝擊波將是巨大的，“克雷西説道，他是Mountain Wave Ventures的合夥人，其客户包括微軟的一些競爭對手。“這再次提醒我們，微軟未能將安全作為優先事項，正在影響我們的國家和經濟安全。”

微軟迅速發佈了針對這些漏洞的補丁，儘管該公司在週二的博客文章中表示，它"高度確信"黑客將繼續利用這些漏洞攻擊未打補丁的SharePoint系統。

這次入侵事件給這家正試圖加強其網絡防禦和聲譽的公司帶來了又一次公關危機。微軟是全球最大的軟件供應商，這使其成為網絡間諜和犯罪分子的目標。它同時也是最大的網絡安全產品銷售商。

“作為’安全未來計劃’的一部分，我們專注於加速和加強我們的安全事件響應，“微軟發言人弗蘭克·肖表示。“在此次事件中，我們迅速採取行動，在72小時內提供了詳細的客户指導併發布了三個新的安全更新，以幫助防範對手攻擊。”

幾乎沒有證據表明，之前與微軟有關聯的重大網絡攻擊損害了該公司的盈利。彭博情報的高級分析師阿努拉格·拉納表示，這甚至可能對微軟有利，因為它可以説服客户將SharePoint遷移到這家科技巨頭的雲端，他形容從長遠來看，雲端更安全且成本更低。

不太清楚的是，最新的入侵事件會對微軟修復其網絡安全信譽和安撫長期批評者的努力產生什麼影響。

其中一位批評者，來自俄勒岡州的民主黨美國參議員羅恩·懷登表示，政府機構已經變得依賴於“一家不僅不關心安全，還通過銷售高級網絡安全服務來解決其產品缺陷而賺取數十億美元的公司。”

“每次由疏忽導致的黑客攻擊都導致政府在微軟的網絡安全服務上增加支出，”懷登在被問及對SharePoint漏洞的回應時在一份聲明中表示。“除非政府停止獎勵微軟，否則永遠無法擺脱這個循環。”

在其四月份的報告中，微軟將“安全未來倡議”描述為一項雄心勃勃、需要多年時間的事業。例如，在28個工程目標中，有5個接近完成，11個取得了顯著進展，微軟仍在努力完成其他目標。

“威脅形勢將繼續演變，導致新的漏洞和安全事件，”報告稱。“技術進步將創造新的方法來提升安全性，同時也會帶來新的問題需要解決。每一個變化都是我們與客户及行業合作，加強集體防禦的機會。”