1. Microsoft Chose Profit over Security, Whistleblower Says (www.propublica.org)
文章揭示了微软公司内部安全部门与商业利益之间的冲突,导致一个关键漏洞未被及时修复,最终被俄罗斯黑客利用发动了重大攻击。
核心事件与发现:
- 漏洞发现: 2016年,微软安全专家安德鲁·哈里斯在调查一起云安全事件时,发现公司产品Active Directory Federation Services (AD FS) 中存在一个严重的安全漏洞。
- 漏洞本质: 该漏洞存在于SAML身份验证协议中,攻击者可以伪造“令牌”冒充合法用户,在云服务中为所欲为且几乎不留痕迹。哈里斯将其称为“令牌盗窃”风险。
- 公司决策: 哈里斯多次向公司报告并警告风险,建议客户临时禁用相关便捷功能。然而,微软的产品团队和安全响应中心以保护商业利益为由拒绝快速修复。主要考量包括:
- 承认漏洞可能影响公司赢得价值数十亿美元的美国国防部云合同。
- 修复方案会削弱微软相对于竞争对手(如Okta)的“无缝单点登录”功能优势。
- 内部存在“安全边界”定义不清、资源不足以及“不修复”的文化,使得问题被搁置。
灾难性后果:
- SolarWinds攻击: 哈里斯的担忧在2020年成为现实。俄罗斯黑客在“太阳风”攻击中,利用了他多年前发现的这一SAML漏洞,从美国国家核安全管理局、国立卫生研究院、财政部等多个敏感联邦机构窃取了大量数据。
- 攻击手法: 黑客通过入侵SolarWinds软件供应链获得初始立足点,然后利用此漏洞横向移动到云环境,实施长期间谍活动。
公司回应与争议:
- 公开立场: 微软总裁布拉德·史密斯在国会听证会上声称“微软产品或服务中没有漏洞被利用”在此次攻击中,并暗示客户应承担更多自我保护责任。
- 内部文化: 文章指出,微软的补偿机制与新功能发布挂钩,而非安全修复,尤其是在被要求追赶亚马逊的Azure部门,形成“重功能、轻安全”的文化。安全部门影响力逐渐减弱。
后续影响与对比:
- 滞后行动: 攻击发生后,微软才建议客户禁用哈里斯多年前提出的同一功能,并最终在2022年推出了长期替代解决方案。
- 讽刺对比: 尽管遭受重大安全失误和国会审查,微软的股价在事件公开后大幅上涨,公司市值登顶。史密斯还在其书中赞扬了公司对攻击的响应。
- 核心指控: 哈里斯及部分前同事认为,微软的决策并非基于客户安全最佳利益,而是优先考虑商业利润和市场竞争力,尤其是在争夺快速增长的云市场主导地位时。