一份强有力的独立委员会报告指控微软存在严重的安全漏洞,并在去年针对美国政府敏感电子邮件的“可预防”网络攻击后误导公众。美国网络安全审查委员会CSRB用七个月时间调查了微软的安全系统,原因是中国网络间谍组织Storm0558成功入侵了数百个微软Exchange Online邮箱,其中包括美国商务部长吉娜雷蒙多和驻华大使尼古拉斯伯恩斯的邮箱。
CSRB在其周二发布的34页报告中表示:“委员会得出结论,这一入侵本不该发生。Storm0558之所以能够成功,是由于微软的一系列安全失误。”
与中国最高情报机关国家安全部相关联的Storm0558通过获得签名密钥,得以访问22个组织中超过500个个人邮箱。CSRB将这一密钥描述为“任何云服务提供商的加密等价物”,并严厉抨击微软不仅因其松懈的系统导致密钥被滥用,还因误导公众关于黑客如何获取该密钥的信息。
微软在去年九月发布的一篇关于这一事件的帖子中声称,密钥是在2021年4月公司消费者签名系统崩溃,生成的“崩溃转储”中被曝光的。但根据CSRB的说法,微软在发布该帖子后不久就得出结论,认为没有证据表明密钥是在崩溃转储中暴露的,但公司历经数月和委员会的多次催促,才最终修改了该帖子。
CSRB指出:“签名密钥的丢失是个严重问题,但通过未知手段失去签名密钥更为重大,因为这意味着受害公司并不知道其系统是如何被入侵的,也不清楚相关漏洞是否已经被修复。”
委员会表示:“由于误以为微软已经明确识别出这一事件的根本原因,微软的客户没有得到必要的信息来评估入侵后微软云环境的安全性。”
报告称,其审查“发现了一系列微软的操作和战略决策,这些决策整体上表明公司文化将企业安全投资和严格的风险管理置于次要地位。”微软作为全球最大的软件公司,其安全文化“十分不足,需要彻底改革”。
在回应报告的声明中,微软表示认同“在我们的网络中采用新的工程安全文化的必要性”。自从Storm0558事件以来,微软开始实施所谓的安全未来计划,目标是将安全性嵌入软件开发和测试流程中。
微软表示:“虽然没有任何组织能免受资源雄厚的对手的网络攻击,但我们已动员工程团队识别和减轻旧基础设施,改善流程,并实施安全基准。”
在1月,微软披露了另一起令人担忧的安全漏洞:俄罗斯威胁组织APT29入侵了公司的企业电子邮件账户,其中包括一些高级管理人员及网络安全和法律团队成员的邮箱。CSRB表示,对于1月的这一入侵事件其感到“担忧”,因为该事件发生在Storm0558攻击数月之后。
“这一额外的入侵突显了委员会的担忧,即微软尚未实施必要的治理或安全优先级,以解决其环境中显而易见的安全弱点和控制失效,从而防止类似事件的再次发生。”
报告指出,微软产品和服务的普遍性使其成为全球最重要的科技公司之一,甚至是最重要的公司。“这种地位带来了极其重要的全球责任。它需要一种以安全为重点的企业文化,每个责任都从首席执行官开始
手机npv下载厦门市思明区前埔路168号三楼01单元(西侧)
