Microsoft udgør en trussel mod den nationale sikkerhed i USA.
Sådan lyder den opsigtsvækkende anklage fra den amerikanske sentator Ron Wyden, der er medlem af Det Demokratiske Parti.
Det er et cyberangreb, der sidste år ramte en af USA’s største hospitalskæder, som nu har fået den amerikanske senator til at beskylde Microsoft for at sælge usikker software.
I et brev til den amerikanske konkurrencemyndighed FTC opfordrer han derfor til, at der bliver åbnet en undersøgelse af sikkerheden i Microsofts software.
I brevet anklager han specifikt Windows for at være yderst sårbar overfor ransomware-angreb, hvis styresystemet bruges i standardkonfigurationen.
”Jeg opfordrer FTC til at undersøge Microsoft og holde virksomheden ansvarlig for den alvorlige skade, den har forårsaget ved at levere farlig og usikker software til den amerikanske regering og til kritiske infrastrukturenheder, såsom dem i den amerikanske sundhedssektor,” skriver senatoren i brevet, der er stilet til formanden for FTC, Andrew Ferguson.
Hopsitalskæde blev lagt ned af cyberangreb
Brevet er en reaktion på et ransomware-angreb, der sidste år ramte Ascension, en katolsk nonprofitorganisation, som driver mere end 140 hospitaler i USA.
Årsagen til angrebet var ifølge Ron Wyden, at en konsulent på sin arbejdscomputer klikkede på et skadeligt søgeresultat i Microsofts søgemaskine Bing, hvilket betød, at der blev downloadet malware på computeren.
Herefter udnyttede hackerne en velkendt svaghed i Microsofts standardindstillinger til at tage kontrol over systemet og udrulle ransomware på tusindvis af maskiner.
Angrebet førte til aflyste operationer, tvang læger og sygeplejersker til at bruge pen og papir og betød desuden, at hackerne fik adgang til sundhedsdata på 5,6 millioner patienter.
Brugte årtier gammel sårbarhed
Ifølge Ron Wyden brugte hackerne en årtier gammel sårbarhed, kendt som Kerberoasting, som stadig kan udnyttes, fordi Microsoft på trods af advarsler fra sikkerhedseksperter fortsætter med at bruge krypteringsalgoritmen RC4.
”Uden rettidig handling udgør Microsofts kultur præget af lemfældig cybersikkerhed, kombineret med selskabets de facto-monopolisering af markedet for enterprise-operativsystemer, en alvorlig trussel mod den nationale sikkerhed,” skriver senatoren desuden i sit brev.
Microsoft: Vi advarer vores kunder
En talsperson fra Microsoft oplyste onsdag til nyhedsbureauet Reuters, at krypteringsstandarden RC4 udgør ”mindre end 0,1 procent af vores trafik”, og at virksomheden fraråder sine kunder at bruge den.
”Hvis vi helt afskaffede brugen af den, ville det imidlertid ødelægge mange kunders systemer,” siger talspersonen og oplyser desuden, at selskabet arbejder på gradvist at udfase den, samtidig med at man advarer og vejleder i den sikreste brug af standarden.