美國網絡安全審查委員會(USCyberSafetyReviewBoard)的一份新報告發現,去年微軟本可以阻止中國黑客通過其微軟Exchange在線軟件入侵美國政府的電子郵件。該事件被描述為微軟"一連串的安全失誤",使中國國傢支持的黑客能夠訪問22個組織的在線電子郵件收件箱,影響到500多人,其中包括從事國傢安全工作的美國政府雇員。
美國國土安全部(DHS)發佈一份措辭嚴厲的報告,認為這次黑客攻擊是"可以預防的",微軟內部的一些決策導致"企業文化將企業安全投資和嚴格的風險管理置於次要地位"。
黑客使用獲取的微軟賬戶(MSA)消費者密鑰偽造訪問網絡 Outlook(OWA)和 Outlook.com 的令牌。報告明確指出,微軟仍不確定密鑰到底是如何被盜的,但主要的推測是密鑰是崩潰轉儲文件的一部分。微軟在 9 月份公佈這一理論,並在最近更新博客文章,承認"我們沒有發現包含受影響密鑰材料的崩潰轉儲"。
由於無法訪問崩潰轉儲,微軟無法確定密鑰到底是如何被竊取的。微軟在其更新的博文中說:"我們的主要假設仍然是,操作失誤導致密鑰材料離開安全令牌簽名環境,隨後在調試環境中通過一個被泄露的工程賬戶被訪問。"
微軟在 11 月向網絡安全審查委員會承認其 9 月份的博客文章不準確,但"在委員會多次詢問微軟是否計劃發佈更正"後,微軟在幾個月後的 3 月 12 日才更正該文章。雖然微軟全力配合委員會的調查,但結論是微軟的安全文化需要徹底改變。
網絡安全審查委員會表示:"委員會認為,這次入侵是可以預防的,根本不應該發生。"委員會還得出結論,"微軟的安全文化不足,需要進行徹底改革,特別是考慮到該公司在技術生態系統中的核心地位,以及客戶對該公司保護其數據和業務的信任程度。"
就在委員會得出這一結論的同一周,微軟推出其專為網絡安全專業人士設計的人工智能聊天機器人--Copilot for Security。作為消費模式的一部分,微軟將向企業收取每小時4美元的費用,以使用這一最新的人工智能工具。
Nobelium 是SolarWinds 攻擊事件的幕後黑手,它曾在數月內偷窺一些微軟高管的電子郵箱。微軟最近承認,該組織訪問公司的源代碼庫和內部系統。
繼去年美國政府電子郵件泄露事件和近年來類似的網絡安全攻擊事件之後,微軟公司目前正試圖全面改革其軟件安全。微軟新的"安全未來計劃"(Secure Future Initiative,SFI)旨在全面改革其軟件和服務的設計、構建、測試和運行方式。這是自2003年破壞性的Blaster蠕蟲病毒導致Windows XP機器大面積中招後,微軟於2004年推出安全開發生命周期(SDL)以來,在安全方面做出的最大改變。