懷登表示微軟的漏洞導致美國醫院系統被黑客攻擊 - 彭博社
Ryan Gallagher, Jake Bleiberg
俄勒岡州的民主黨參議員羅恩·懷登(Ron Wyden),在華盛頓進行確認聽證會時。
攝影師:埃裏克·李/彭博社美國參議員羅恩·懷登表示,微軟公司的明顯網絡安全缺陷導致了對美國醫院系統的勒索軟件攻擊,並呼籲聯邦貿易委員會進行調查。
在週三發給聯邦貿易委員會主席安德魯·弗格森(Andrew Ferguson)的信中,懷登指責微軟“嚴重的網絡安全失職”,並稱這導致了對美國關鍵基礎設施的勒索軟件攻擊。懷登提到了2024年在美國最大的非營利健康系統之一的Ascension發生的泄露事件。此次入侵導致Ascension許多醫院的計算機關閉,手術被暫停,並盜取了超過500萬名患者的敏感數據。
懷登表示,他辦公室的調查發現,Ascension的黑客攻擊始於一名承包商使用微軟的必應搜索引擎進行搜索時,點擊了一個惡意鏈接,導致承包商無意中下載了惡意軟件。這使得黑客能夠訪問Ascension的計算機網絡。
根據懷登的説法,攻擊者隨後通過利用一種稱為RC4的不安全加密技術獲得了特權賬户的訪問權限,該技術在Windows計算機上默認支持。這種黑客方法被稱為Kerberoasting,公司將其描述為一種網絡攻擊,入侵者旨在通過針對一種稱為Kerberos的認證協議來收集密碼。
根據懷登的説法,微軟使用“古老、不安全”的加密技術使黑客能夠破解特權賬户的密碼。
微軟發言人大衞·卡迪表示,公司與懷登的辦公室進行了接觸“並將繼續傾聽並回答他們或其他政府人員的問題。”卡迪表示,RC4是一個“舊標準”,公司不鼓勵其使用,因此它在其流量中佔比不到千分之一。
卡迪談到RC4時表示:“我們正在逐步減少客户使用它的程度,同時提供強烈的警告和儘可能安全使用的建議。我們在路線圖上計劃最終禁用它的使用。”
卡迪補充説,微軟已經移除了另一個“有問題”的標準,並且從2026年開始,微軟的憑證管理系統Active Directory的新安裝將默認禁用RC4。卡迪表示,微軟尚未完全禁用RC4的使用,因為這樣的舉動會干擾許多客户系統。
聯邦貿易委員會發言人朱莉安娜·格魯恩瓦爾德·亨德森拒絕對懷登的信件發表評論。昇天公司沒有回應尋求評論的電話和電子郵件。
懷登寫道:“由於微軟的危險軟件工程決策,該公司在很大程度上對其企業和政府客户隱瞞了這些決策,醫院或其他組織中的單個個體點擊錯誤鏈接可能迅速導致整個組織的勒索軟件感染。微軟完全未能阻止甚至減緩其危險軟件所導致的勒索軟件的蔓延。”
懷登表示,他在2024年7月首次向微軟高級官員提出了Kerberoasting問題,這促使該公司在10月發佈了一篇博客文章,向組織提供瞭如何防範這種黑客技術的建議。該公司當時表示正在進行更新,以禁用RC4加密。但該更新尚未發佈。
因此,懷登認為,大多數作為微軟客户的公司、政府機構和非營利組織仍然容易受到這種黑客技術的攻擊。
這位參議員補充説,如果沒有FTC的行動,“微軟的網絡安全疏忽文化,加上其對企業操作系統市場的事實壟斷,構成了嚴重的國家安全威脅,並使額外的黑客攻擊不可避免。”
近年來,懷登一直是微軟的常規批評者,原因是該公司一系列被指控的安全漏洞。在2024年,美國政府的一份報告指出,“不充分”的安全文化是懷疑的中國黑客能夠利用該公司技術中的漏洞竊取美國官員電子郵件的原因之一。作為回應,該公司承諾進行一次雄心勃勃的安全改革。
在7月,微軟表示,一次懷疑由中國政府支持的網絡攻擊利用了微軟SharePoint服務器中的漏洞,侵入了全球超過400個組織,包括美國國家核安全局,該部門負責設計和維護國家的核武器。
我們本週學到了什麼
美國對在東南亞運營的網絡詐騙中心網絡實施了制裁,旨在加大對 allegedly 使用強迫勞動從美國人那裏騙取數十億美元的操作的壓力。
財政部週一宣佈的行動,針對 緬甸的九個實體,這些實體據稱在已經被制裁的克倫民族軍的保護下運作,以及在柬埔寨的10個實體,美國稱這些地方的工人被迫進行虛擬貨幣投資詐騙。
“東南亞的網絡詐騙產業不僅威脅到美國人的福祉和金融安全,還使成千上萬的人遭受現代奴隸制,”財政部恐怖主義和金融情報副部長約翰·赫利在 一份新聞稿中表示。
財政部表示,去年美國人因東南亞的詐騙損失超過100億美元。
這一舉措是美國總統唐納德·特朗普政府針對其所稱的大規模網絡欺詐上升的系列行動中的最新一步,這種欺詐在東南亞 迅速蔓延。根據美國財政部的説法,求職者常常在虛假借口下被誘騙到勞動營,然後在暴力威脅下被迫進行在線詐騙活動。
我們正在閲讀的內容
- 紐約大學團隊 開發了一種人工智能驅動的惡意軟件,安全研究人員 在網上發現了該惡意軟件。
- 前WhatsApp員工 表示老闆忽視了 網絡安全缺陷。
- 微軟表示,紅海電纜被切斷後,Azure服務罰款 。
- Anthropic 對中國擁有的公司 的人工智能服務進行限制。
- 自動化的敲詐間諜軟件 拍攝受害者觀看色情內容時的網絡攝像頭照片。
- 中國黑客假裝 在貿易談判中是美國頂級立法者。
- 聯邦應急管理局 在網絡事件和員工解僱後開始進行安全改革。
**有新聞線索嗎?**你可以聯繫瑞安·加拉赫 [email protected] 和傑克·布萊伯格 [email protected]。你也可以使用我們的 SecureDrop 安全且匿名地發送文件給我們。
更多來自彭博社
深入瞭解科技 和更多彭博科技通訊直接發送到你的郵箱:
- 遊戲進行中 深入探討視頻遊戲行業
- 電力開啓 獲取蘋果新聞、消費科技新聞等
- 屏幕時間 瞭解好萊塢與硅谷的碰撞
- 聲音片段 報道播客、音樂產業和音頻趨勢
- 問與AI 解答你關於人工智能的所有問題