U.S. hospital system suffers hacker attack, senator urges FTC to investigate Microsoft's cybersecurity vulnerabilities

智通財經 APP 獲悉，美國俄勒岡州民主黨參議員羅恩·懷登致信聯邦貿易委員會（FTC）主席安德魯·弗格森，公開指責微軟公司 (MSFT.US) 存在明顯的網絡安全漏洞，導致美國醫院系統遭受勒索軟件攻擊，並已呼籲聯邦貿易委員會展開調查。

這位來自俄勒岡州的民主黨人指責微軟存在 “嚴重的網絡安全疏忽”，稱這種疏忽導致了針對美國關鍵基礎設施的勒索軟件攻擊。他在信中以 2024 年阿森松醫療系統事件為例：作為美國最大的非營利醫療系統之一，阿森松因黑客攻擊被迫關閉多家醫院計算機系統，造成手術暫停、超 500 萬患者敏感數據泄露。

懷登辦公室調查發現，攻擊始於必應向一名承包商返回了惡意鏈接，該承包商點擊後中招，黑客由此侵入阿森松網絡，隨後利用 Windows 系統默認支持的 RC4 不安全加密技術，通過 Kerberoasting 攻擊手段破解特權賬户密碼，最終實現系統入侵。

懷登強調，微軟長期使用"古老且不安全"的 RC4 加密技術，使得黑客能夠輕易破解賬户密碼，而該公司對企業和政府客户隱瞞了這一危險決策。他指出，這種疏忽導致"單個員工誤點鏈接即可引發全組織勒索軟件感染"，微軟不僅未有效阻止攻擊，反而放任"由危險軟件引發的勒索軟件氾濫"。

儘管微軟發言人戴維·卡迪回應稱 RC4 是"舊標準"，佔其流量不足 0.1%，且公司正逐步減少客户的使用並計劃於 2026 年起在新安裝的 Active Directory 系統中默認禁用該技術，但懷登認為，目前絕大多數微軟客户仍暴露在攻擊風險中。

值得注意的是，這並非懷登首次批評微軟。2024 年 7 月，他已就 kerberos 安全問題向微軟高層提出質詢，促使該公司當年 10 月發佈技術博客指導組織防範攻擊，並宣佈開發禁用 RC4 的更新。

然而，該更新至今未正式發佈，導致政府機構、非營利組織等客户很可能仍然容易受到黑客技術的攻擊。懷登警告，若聯邦貿易委員會不採取行動，微軟"忽視網絡安全的企業文化"與"操作系統市場事實壟斷地位"將構成國家安全威脅，使更多黑客攻擊不可避免。

聯邦貿易委員會對此未予置評，阿森松方面亦未回應採訪請求。