IT之家 9 月 12 日消息，美國民主黨參議員羅恩?懷登（Ron Wyden）致信聯(lián)邦貿(mào)易委員會（FTC），指責(zé)微軟在企業(yè) IT 領(lǐng)域幾近壟斷，卻在 Windows 安全上存在“嚴(yán)重疏忽”，導(dǎo)致勒索軟件攻擊激增，在醫(yī)療行業(yè)尤為明顯。

該信共 4 頁，懷登措辭強(qiáng)烈，點(diǎn)名批評微軟在網(wǎng)絡(luò)安全方面存在嚴(yán)重問題。他指出，微軟在企業(yè) IT 市場幾乎處于壟斷地位，卻未能提供足夠安全的系統(tǒng)，這不僅引發(fā)勒索軟件攻擊增多，更對國家安全構(gòu)成威脅。IT之家附上首頁截圖如下：

懷登特別提到，微軟在安全策略上做出“危險(xiǎn)的工程決策”，例如 Windows 默認(rèn)配置并不安全，且這些問題往往對企業(yè)和政府用戶隱而不宣。雖然用戶可以手動修改設(shè)置，但大多數(shù)人并未采取行動，從而增加了安全風(fēng)險(xiǎn)。

信中引用了 2024 年非營利醫(yī)療機(jī)構(gòu) Ascension 的勒索軟件事件。攻擊者利用 Bing 中的惡意鏈接誘騙承包商員工中招，隨后通過“Kerberoasting”技術(shù)入侵系統(tǒng)，橫向移動、獲取管理員權(quán)限，并在系統(tǒng)中植入勒索軟件，同時竊取了數(shù)百萬患者的數(shù)據(jù)。

懷登將矛頭直指微軟默認(rèn)使用過時的 RC4 加密，而非更安全的 AES。他指出，微軟雖建議使用 14 位以上密碼來降低風(fēng)險(xiǎn)，但自身軟件并未強(qiáng)制要求，即便是管理員賬戶也不例外。微軟曾承諾停用 RC4，但一年過去仍未兌現(xiàn)。

懷登認(rèn)為，微軟在安全不足的同時，卻能建立起數(shù)十億美元的業(yè)務(wù)，其中一個主要原因是向因漏洞受害的客戶額外銷售網(wǎng)絡(luò)安全服務(wù)，他將此比作“縱火犯向受害者推銷滅火服務(wù)”。他呼吁 FTC 調(diào)查微軟，并追究其對政府及公共基礎(chǔ)設(shè)施安全事件的責(zé)任，否則未來類似攻擊將不可避免。