微软成为SolarWinds黑客活动的热门话题

被认为对美国国家安全构成严重威胁的庞大黑客攻击活动被称为SolarWinds，因为该公司的软件更新是由俄罗斯情报人员利用恶意软件植入的，旨在渗透敏感的政府和私人网络。

然而，正是微软的代码使该网络间谍在竞选活动的第二阶段中不断被滥用，通过电子邮件和其他文件(诸如当时扮演国土安全部负责人查德·沃尔夫(Chad Wolf))的高价值目标来回搜寻，并且在受害网络中未被发现。

这使全球第三大最有价值的公司成为热门话题。由于其产品实际上是政府和行业中的单一文化产品-拥有超过85%的市场份额-联邦立法者坚持要求Microsoft迅速将安全性升级到他们所说的本应提供的功能，而又不能使纳税人蒙混过关。

为了缓解担忧，微软上周向所有联邦机构提供了为期一年的“高级”安全功能，无需额外付费。但是它也试图逃避责备，说不是总是将安全放在首位的是客户。

当拜登(Biden)政府周四对六家俄罗斯IT公司实施制裁时，微软对外交易的风险也减轻了，该公司表示支持克里姆林宫黑客攻击。最杰出的是Positive Technologies，这是Microsoft提供的80多家公司中的一家，这些公司可以早期访问有关其产品中检测到的漏洞的数据。在制裁宣布之后，微软表示，Positive Tech不再参与该计划，并从其网站的参与者列表中删除了其名称。

SolarWinds黑客充分利用了顶级网络安全公司CrowdStrike的首席执行官George Kurtz所说的Microsoft代码关键要素中的“系统弱点”，以挖掘至少九个美国政府机构(包括司法部和财政部)，等等。包括软件和电信提供商在内的100多家私营公司和智囊团。

无党派的大西洋理事会智囊团在一份报告中说，SolarWinds黑客滥用微软的身份和访问体系结构-验证用户的身份并授予他们访问电子邮件，文档和其他数据的权限-造成了最大的危害。这将黑客行为与“广泛的情报政变”区分开来。在几乎每种入侵后恶作剧的情况下，入侵者都“悄悄地浏览了Microsoft产品，“清空了来自数十个组织的电子邮件和文件。”

在一定程度上要归功于受害网络以管理特权的形式授予受感染的Solarwinds网络管理软件的全权委托，入侵者可以在它们之间横向移动，甚至在组织之间跳跃。他们利用它潜入了网络安全公司Malw​​arebytes，并瞄准了电子邮件安全公司Mimecast的客户。

网络安全基础设施和安全局代理主任布兰登·威尔斯在3月中旬的国会听证会上说，该活动的“标志”是入侵者能够假冒合法用户并创建伪造的凭据，使他们能够获取Microsoft Office远程存储的数据。 。他说：“这完全是因为它们损害了那些管理网络上信任和身份的系统。”

微软总裁布拉德·史密斯(Brad Smith)在2月的国会听证会上说，只有15%的受害者是通过2017年首次发现的身份验证漏洞而受到危害的-入侵者可以通过伪造大致等同的伪造护照来冒充授权用户。

微软官员强调，SolarWinds更新并不总是切入点。入侵者有时会利用诸如弱密码和受害者缺乏多因素身份验证之类的漏洞。但批评人士说，该公司对安全性的重视程度过低。俄勒冈州参议员罗恩·怀登(Ron Wyden)口头批评微软未向联邦机构提供一定程度的“事件日志”，如果它没有检测到进行中的SolarWinds黑客入侵，至少会为响应者提供有关何处的记录入侵者是他们所看到和移除的东西。

“微软会在其销售的软件中选择默认设置，即使该公司多年来一直知道针对美国政府机构使用的黑客技术，但该公司并未设置默认日志记录设置来捕获发现正在进行的黑客事件所需的信息，” Wyden说。他不是唯一抱怨的联邦立法者。

当微软周三宣布为联邦机构免费提供一年的安全日志记录时，通常会收取一定的溢价，而维登却丝毫不为所动。

他在一份声明中说：“此举远远不足以弥补微软最近的失败。”“如果不向创建该网络安全漏洞的同一家公司提供更多资金，政府仍然无法访问重要的安全功能。”

众议员吉姆·兰格文(Jim Langevin，DR.I.)于2月向史密斯(Smith)要求进行安全日志加售，将其与在标准配置下在汽车中选择安全带和安全气囊选项进行比较。他赞扬了微软一年的缓刑期，但他说，有关它“不是利润中心”的问题，需要进行更长期的讨论。他说：“这使我们一年获利。”

但是，即使是最高级别的日志记录也无法阻止入侵。这样只会更容易检测到它们。

请记住，许多安全专家指出，Microsoft自身受到SolarWinds入侵者的侵害，他们可以访问其某些源代码(即皇冠上的宝石)。微软的全套安全产品以及一些业内最熟练的网络防御从业人员，未能检测到网络中的幽灵。网络安全公司FireEye在12月中旬首次检测到黑客攻击活动后，就对其自身的违规行为发出了警报。

3月披露的与Microsoft Exchange电子邮件服务器无关的黑客入侵者使用了完全不同的感染方法。但是他们立即获得了对用户电子邮件和其他信息的高级访问。

在整个行业中，Microsoft在安全性方面的投资得到了广泛认可。通常，它首先是识别主要的网络安全威胁，它在网络中的可见度非常高。但是许多人认为，作为其产品安全解决方案的主要供应商，它需要更加注意应从防御中获利的程度。

“关键是微软正在向您出售这种疾病和治愈方法，”网络安全资深人士马克·马夫雷特(Marc Maiffret)说，他的职业是寻找微软产品的漏洞，并在公司中拥有一家名为BinMave的新创业公司。

上个月，路透社报道称，在草案草案中包括了向微软支付的1.5亿美元，用于“安全的云平台”，用于支出上个月1.9万亿美元的大流行性救助法案中拨给网络安全和基础设施安全局的6.5亿美元。

微软发言人不会说将获得多少钱，而是将问题转交给网络安全机构。机构发言人斯科特·麦康奈尔(Scott McConnell)也不会说。兰格文表示，他认为尚未做出最终决定。

在9月结束的预算年度中，联邦政府在Microsoft软件和服务上花费了超过10亿美元。

许多安全专家认为，Microsoft的单点登录模型强调用户的便利性而不是安全性，现在已经成熟，可以进行重组以反映一个世界，在这个世界上，国家支持的黑客现在经常在美国网络上粗暴地运行

微软身份安全总监亚历克斯·韦纳特(Alex Weinert)表示，它为客户提供了多种方式来严格限制用户访问其工作所需的内容。但是，让客户满意是很困难的，因为这通常意味着放弃三十年的IT习惯并破坏业务。他说，客户倾向于使用太多的全局管理权限来配置过多的帐户，这些特权会导致SolarWinds广告系列滥用。“这不是他们这样做的唯一方法，这是肯定的。”

现在，非营利组织Internet安全中心的常务董事Dukes说，OPM使用Microsoft的身份验证体系结构在多个机构之间共享数据，从而授予了超出安全范围的更多用户访问权限。