微软的安全警报被忽视
关键要点
微软被指控忽视了前员工安德鲁哈里斯关于Golden SAML漏洞的警告。该漏洞与2020年SolarWinds软件供应链攻击有关,影响了许多组织。微软表示SAML标准本身没有固有漏洞,其实现不会对身份服务造成安全问题。根据ProPublica的报道,微软被指控忽略了前员工安德鲁哈里斯关于其Active Directory Federation Services存在Golden SAML漏洞的警告,这一情况早在2020年SolarWinds软件供应链攻击之前就已被提出。根据CRN的分析,这一漏洞的存在在SolarWinds事件中被利用,导致众多组织遭受到网络攻击,其中包括国家核安全局和国家卫生研究院等重要机构。
旋风加速官网下载ProPublica的报告指出,如果微软能在更早时采取有效措施,可能会避免Golden SAML漏洞的利用。尽管如此,微软并未对这些发现提出挑战。
微软回应称:“我们的安全响应团队对所有安全问题都非常重视,并对此进行认真审查,进行全面的手动评估,并与工程和安全合作伙伴进行交叉确认。我们对这一问题的评估经历了多次审查,并与行业共识保持一致。”
微软还强调,SAML标准本身没有“固有漏洞”,其实现不会对身份服务构成安全隐患。这一声明旨在澄清其在网络安全方面的立场,并重申其在处理安全事件时的认真态度。
事件描述Golden SAML漏洞与身份验证相关的安全漏洞SolarWinds攻击2020年发生的重大网络攻击事件对于关注网络安全的人士来说,这一事件凸显了企业在处理安全警告时应有的严谨态度。同时,也提醒我们在选择和使用技术服务时,需对安全性进行充分的评估。
