微软: 微软形同虚设的安全补丁让中国黑客再度得手

2025-07-25 | 来源: 华尔街日报 | 转到微信 | 有0人参与评论 | 字体: 放大缩小 | 收藏 | 打印

去年，萨提亚·纳德拉(Satya Nadella)承诺将安全作为微软(Microsoft)的第一要务。而一起涉及中国的新黑客攻击事件表明，要做到这一点有多么困难。

此次攻击涉及微软SharePoint软件的多个版本，该软件为不愿使用云服务的客户提供文档存储平台。据安全研究人员称，微软本月早些时候针对SharePoint的两个漏洞发布了补丁，但这些修复程序很快被绕过，导致与中国有关的黑客侵入了数百个机构。

研究人员表示，这些有缺陷的补丁非但没有保护客户，反而可能为黑客提供了磨练攻击手法的路线图。

这是这家科技巨头一系列疏漏中的最新一起，这些疏漏让中国庞大而全球化的网络间谍活动从中受益，这些活动是美国的一大国家安全威胁。

去年，美国国土安全部发布了一份措辞严厉的报告，详细描述了微软在2023年一次黑客攻击事件中的失误，在该事件中，中国窃取了数千封美国高级政府官员的电子邮件。在那之前的两年，与中国有关的网络攻击者攻破了超过25万台微软Exchange服务器。

“他们规模太大了，不能再这样接连失败了”，前美国网络安全高官杰夫·格林(Jeff Greene)说，他参与撰写了去年那份严厉批评微软失误的报告。“虽然我对微软在我们的报告发布后开始重视安全问题的态度表示赞赏，但他们需要做得更好——并向公众展示他们是如何做得更好的。”

为回应去年的报告，纳德拉承诺微软将重新致力于保护其产品和客户免受不良行为者的侵害，他将此称为安全未来倡议(Secure Future Initiative)。

微软CEO纳德拉今年在西雅图举行的公司大会上登台。图片来源：jason redmond/AFP/Getty Images

“安全未来”

万斯指责微软等巨头申请大量H-1B签证

微软调查中国黑客是否通过其早期预警获悉漏洞

微软称中国黑客利用SharePoint漏洞发起攻击行动

“作为我们‘安全未来倡议’的一部分，我们致力于持续改进安全响应和修复工作”，微软副首席信息安全官安·约翰逊(Ann Johnson)说。她指出，公司在得知攻击事件的72小时内就发布了针对这些漏洞的新修复程序，直接联系了客户，并就这一问题发布了两篇博客文章。

“我们从客户那里收到的反馈基本上是积极的”，她说。

多年来，微软一直面临严峻的安全挑战，其中许多挑战都围绕着其为运行自有服务器的客户提供的软件和产品。纳德拉上任后不久，微软就裁撤了在全公司范围内负责微软安全工作的团队，将安全决策权下放给各个业务部门。

大约在同一时间，微软改变了软件开发方式，裁掉了许多负责在产品交付给客户前发现漏洞的测试工程师。

前员工和安全研究人员表示，这些举措使微软变得更加灵活，更能与对手在云计算和人工智能(AI)领域展开竞争，但也付出了代价，尤其是对SharePoint等产品的非云用户而言。

400台服务器遭黑客攻击

截至周三，研究人员称已有逾400台SharePoint服务器遭到黑客攻击，其中许多属于政府实体;微软已将一部分攻击与中国政府联系起来。中国一名外交部发言人称这些指控是抹黑。

SharePoint事件引发了对微软的新一轮批评，微软一直试图平息美国的一种担忧，即该公司未能优先考虑网络安全，而是专注于扩大人工智能(AI)业务和实现利润最大化。

“政府机构已开始依赖的一家公司不仅不关心安全问题，还正通过销售用以解决自家产品漏洞的高级网络安全服务大赚特赚，”国会中的一位主要网络安全倡导者、俄勒冈州民主党籍联邦参议员罗恩·怀登(Ron Wyden)说。“政府永远无法摆脱这个循环，除非停止用一份份越来越大的合同来奖励微软的疏忽。”