9 月 12 日消息,美国民主党参议员罗恩・怀登(Ron Wyden)致信联邦贸易委员会(FTC),指责微软在企业 IT 领域几近垄断,却在 Windows 安全上存在“严重疏忽”,导致勒索软件攻击激增,在医疗行业尤为明显。
该信共 4 页,怀登措辞强烈,点名批评微软在网络安全方面存在严重问题。他指出,微软在企业 IT 市场几乎处于垄断地位,却未能提供足够安全的系统,这不仅引发勒索软件攻击增多,更对国家安全构成威胁。附上首页截图如下:
怀登特别提到,微软在安全策略上做出“危险的工程决策”,例如 Windows 默认配置并不安全,且这些问题往往对企业和政府用户隐而不宣。虽然用户可以手动修改设置,但大多数人并未采取行动,从而增加了安全风险。
信中引用了 2024 年非营利医疗机构 Ascension 的勒索软件事件。攻击者利用 Bing 中的恶意链接诱骗承包商员工中招,随后通过“Kerberoasting”技术入侵系统,横向移动、获取管理员权限,并在系统中植入勒索软件,同时窃取了数百万患者的数据。
怀登将矛头直指微软默认使用过时的 RC4 加密,而非更安全的 AES。他指出,微软虽建议使用 14 位以上密码来降低风险,但自身软件并未强制要求,即便是管理员账户也不例外。微软曾承诺停用 RC4,但一年过去仍未兑现。
怀登认为,微软在安全不足的同时,却能建立起数十亿美元的业务,其中一个主要原因是向因漏洞受害的客户额外销售网络安全服务,他将此比作“纵火犯向受害者推销灭火服务”。他呼吁 FTC 调查微软,并追究其对政府及公共基础设施安全事件的责任,否则未来类似攻击将不可避免。