Microsoft逆轉了練習後,將基於中國的工程師用於敏感的五角大樓雲系統的長期政策,但新的報告顯示,該公司未能披露這種高風險安排的全部範圍。
技術巨頭的政策轉變僅在2025年7月的私人范圍內出現了一個易於的國家,這是一個易於啟動的國家,這是一個由成本的機構發起的,這是一個成本的啟發性的,這是一個成本的啟發性,該國的範圍是一定的。 (DOD),根據A propublica研究。此後的爭議升級了,將實踐與主要軟件黑客聯繫起來。
披露和疏忽的失敗
引起的爭議加深了Microsoft的官方安全計劃加深的爭議,以使政府積極隱藏了這些關鍵的細節。根據A 。
缺乏透明度有助於解釋為什麼頂級五角大樓官員似乎被蒙蔽了雙眼。國防部前首席信息官約翰·謝爾曼(John Sherman)說,他以前不知道該計劃,他承認:“我可能應該知道這一點。 “他的反應受到其他官員的回應,他們對巨大的脆弱性感到震驚。
謝爾曼後來得出的結論是“不向供應商提出完美的問題的案例,每個可能的禁止的條件都闡明了。 “他補充說,這樣一個問題“會抽煙’數字伴遊’的瘋狂練習”,“公司需要承認這是錯誤的,並承諾不做不會通過常識測試的事情。 ”
疏忽似乎是系統性的和深刻的。國防部自己的IT機構國防信息系統局(DISA)審查並接受了微軟的安全計劃。 DISA發言人最初告訴Propublica:“從字面上看,似乎沒人知道這一點,”強調了這種做法被埋葬的深度。
這種情況也焦化了FedRamp進程本身的潛在利益衝突。 Fedramp和DOC都依靠“第三方評估組織”來獸醫供應商。但是,這些獨立的審核員是由正在評估的公司直接僱用和支付的。 Microsoft, for instance, hired a company named Kratos to manage its assessments.
Critics, including a former General Services Administration official, argue this arrangement presents an inherent conflict, likening it to a 餐廳為自己的健康檢查員付費。一位熟悉該過程的前Microsoft員工將其描述為“領導證人”,他說:“您要為自己想要的結果付費。 “模糊披露和外包監督的這種結合使風險的做法持續了多年。
五角大樓反彈和迅速的逆轉
在最初的7月份報告後,華盛頓的公眾反應立即和嚴重。美國國防部長皮特·海格斯(Pete Hegseth)在X上張貼了這種做法是完全不可接受的,在 這一明確的公共譴責來自五角大樓的最高水平左Microsoft,沒有機動空間。議員們擴大了壓力,湯姆·棉花等參議員 supply-chain風險行動,棉花在給赫格斯的一封信中說,很明顯,國防部和國會需要採取進一步的行動,以對這種“不明智的和令人髮指的做法”採取進一步的行動。 面對政治大火,微軟執行了長達十年的政策。故事破裂後的幾天7月18日,首席傳播官弗蘭克·肖(Frank X. Shaw)宣布了這一變化。在A 發布了X shaw ,肖(Shaw)證實,“ Microsoft對我們對我們的基於中國的Engineering Poundment Servistion Servient Servisions Privisation pod/digos verdive pod p p p p p>護送“計劃不是公司的孤立事件。它增加了令人不安的安全失誤模式,這些模式困擾了微軟並侵蝕了華盛頓的信任。迅速的譴責遵循a 網絡安全審查委員會的報告指責“可避免的錯誤級聯”和一種“剝奪安全性”的企業文化。在護送故事破裂的一個月前,微軟總裁布拉德·史密斯(Brad Smith)在國會前作證,面臨對這些失敗的強烈質疑。最新的啟示只會擴大現有的政治壓力,迫使公司的手。 當隨後的 這是針對最近的“工具殼”(CVE-2025-5370)中針對的軟件的“ ONPREM”版本相同的“ ONPREM”版本。該漏洞利用損害了400多個組織,包括美國國土安全部的一部分。作為回應,微軟承認了這種做法,並指出:“已經在進行將此工作轉移到另一個位置的工作,反映了其對五角大樓雲爭議的反應。 “工具殼”攻擊是一個複雜的“貼片旁路”,是一個偷走了服務器的加密機器鑰匙,可深入訪問並提供深入的訪問。首先檢測到該活動的網絡安全公司的眼安全性警告說,這使得補救變得困難,並指出:“單獨修補並不能解決問題。 “美國CISA強調了危險,指出漏洞利用“未經身份驗證了對系統的訪問,並使惡意參與者能夠完全訪問SharePoint內容。 ” exploit的起源是極大爭議的。安全專家認為,攻擊者從內幕洩漏中獲得了首發,而不僅僅是聰明的黑客。有證據表明,剝削始於7月7日,這是微軟發布其官方補丁前一天的一整天。這導致研究人員推測細節是從微軟的主動保護計劃(MAPP)中洩漏出來的,該計劃為安全供應商提供了預先發行的補丁信息。 duster trend Micro的零日活動的零日間倡議稱為“時間表”的證據,稱為“洩漏”,“在這裡洩漏,您已經在某個地方進行了洩漏。 bypasses the patch…”The speculation gained significant weight when Bloomberg reported that Microsoft is now internally Microsoft和Google的Mandiant將最初的攻擊歸因於中國國家贊助的群體,儘管該運動隨著術士的勒索軟件的部署而迅速升級為金融犯罪。中國政府堅定地否認了這些指控。 啟示錄帶來了巨大的利益衝突,引發了安全專家的進一步憤怒。 DISA的前CTO David Mihelcic直言不諱地評估了潛在的護送計劃的危險:“在這裡您有一個您真的不信任的人,因為他們可能在中國情報服務中,而另一個人並不能有能力。 ” Harry Coker。有價值的訪問。這一集是一個令人不安的例子,說明如何對關鍵任務系統採用省略成本措施引入災難性風險。 SharePoint Hack Connection