美参议员指责微软垄断和疏忽安全：靠增值服务获利，像“纵火犯向受害者推销灭火服务”

9 月 12 日消息，美国民主党参议员罗恩・怀登（Ron Wyden）致信联邦贸易委员会（FTC），指责微软在企业 IT 领域几近垄断，却在 Windows 安全上存在“严重疏忽”，导致勒索软件攻击激增，在医疗行业尤为明显。

该信共 4 页，怀登措辞强烈，点名批评微软在网络安全方面存在严重问题。他指出，微软在企业 IT 市场几乎处于垄断地位，却未能提供足够安全的系统，这不仅引发勒索软件攻击增多，更对国家安全构成威胁。附上首页截图如下：

怀登特别提到，微软在安全策略上做出“危险的工程决策”，例如 Windows 默认配置并不安全，且这些问题往往对企业和政府用户隐而不宣。虽然用户可以手动修改设置，但大多数人并未采取行动，从而增加了安全风险。

信中引用了 2024 年非营利医疗机构 Ascension 的勒索软件事件。攻击者利用 Bing 中的恶意链接诱骗承包商员工中招，随后通过“Kerberoasting”技术入侵系统，横向移动、获取管理员权限，并在系统中植入勒索软件，同时窃取了数百万患者的数据。

怀登将矛头直指微软默认使用过时的 RC4 加密，而非更安全的 AES。他指出，微软虽建议使用 14 位以上密码来降低风险，但自身软件并未强制要求，即便是管理员账户也不例外。微软曾承诺停用 RC4，但一年过去仍未兑现。

怀登认为，微软在安全不足的同时，却能建立起数十亿美元的业务，其中一个主要原因是向因漏洞受害的客户额外销售网络安全服务，他将此比作“纵火犯向受害者推销灭火服务”。他呼吁 FTC 调查微软，并追究其对政府及公共基础设施安全事件的责任，否则未来类似攻击将不可避免。