在上个月 Azure 遭到攻击之后,微软正面临着越来越多的批评。网络安全公司 Tenable 的首席执行官阿米特-约兰(Amit Yoran)在 LinkedIn 上发表文章称,微软的网络安全记录"比你想象的还要糟糕"--他有一个例子可以证明这一点。
7 月 12 日,微软披露了针对其 Azure 平台的重大漏洞,并追溯到一个名为 Storm-0558 的黑客组织。这次攻击影响了约 25 个不同的组织,导致美国政府官员的敏感电子邮件被盗。上周,参议员罗恩-怀登(Ron Wyden)致信美国司法部,要求司法部追究微软"疏忽网络安全行为"的责任。
Yoran 对参议员的论点有更多的补充,他在帖子中写道,微软已经证明了"一再的疏忽网络安全行为模式",使得国外黑客能够对美国政府进行间谍活动。他还透露了Tenable公司在微软Azure中发现的另一个网络安全漏洞,并称该公司花了太长时间来解决这个问题。
Tenable 最初是在今年 3 月发现这个漏洞的,发现它可以让不怀好意者访问公司的敏感数据,包括银行。Yoran 声称,在 Tenable 通知微软后,微软花了"90 多天才实施了部分修复",并补充说,修复仅适用于"服务中加载的新应用程序"。根据 Yoran 的说法,该银行和所有其他"在修复之前启动了服务"的机构仍然受到该漏洞的影响,而且很可能没有意识到这一风险。
约兰表示,微软计划在 9 月底前修复该问题,但他称微软的延迟回应"极不负责任,甚至是公然疏忽"。他还指出,Google"零日项目"(Project Zero)的数据显示,自2014年以来,微软产品占所有已发现零日漏洞的42.5%。
"你从微软那里听到的是'相信我们',但你得到的却是极低的透明度和有毒的混淆视听文化,"Yoran写道。"鉴于事实模式和当前行为,CISO、董事会或执行团队如何相信微软会做正确的事?"
安全公司 Wiz 上周报告称,对 Azure 的黑客攻击可能比最初想象的影响更深远,不过微软随后对其调查结果提出了质疑。
微软高级主管杰夫-琼斯(Jeff Jones)在电子邮件声明中回应了 Yoran 的批评:
我们感谢与安全社区的合作,以负责任的方式披露产品问题。我们遵循一个广泛的流程,包括彻底调查、为所有受影响产品版本开发更新,以及在其他操作系统和应用程序中进行兼容性测试。归根结底,安全更新的开发需要在及时性和质量之间取得微妙的平衡,同时确保在最大程度上保护客户,并将对客户造成的干扰降至最低。
微软最近卷入了多起数据泄露事件,包括影响美国政府各机构的臭名昭著的 Solar Winds 黑客攻击事件。该公司还因其 Microsoft Exchange Server 软件存在缺陷而遭受攻击,影响到 30000 多家机构。美国政府很快将迫使公司更主动地披露安全问题,因为美国证券交易委员会的新规定要求公司在发现黑客攻击后四天内予以披露。