首例！美国国安局发现Win10漏洞后，通知微软“打补丁”

微软Windows 10操作系统。

近日，美国国家安全局（NSA）检测到微软Windows 10操作系统上的一个漏洞，并向微软发出了警告。微软于1月14日发布了一个补丁对其进行修复。

这是美国国家安全局第一次发现漏洞后通知企业并公开处理，过往的做法是密而不发，利用漏洞研发黑客工具。对此，微软曾于2017年对美国国安局进行公开谴责。

据华尔街日报1月14日报道，此次发现的Windows漏洞，可能会被黑客利用以破坏、监视或干扰目标计算机网络。它利用了微软使用数字签名验证软件的真实性，以阻止恶意软件被安装到计算机上的设置，但该漏洞可能会允许黑客在系统检测不出来的情况下安装更强大的恶意软件。

美国政府官员将该漏洞描述为特别严重，并表示微软用户应该立刻升级系统将其修复。当天，美国国家安全局新成立的网络安全组组长Anne Neuberger表示：“我们建议网络所有者立即发布补丁。”据她透露，美国国家安全局发现这个漏洞后立即通知了微软。

微软和美国国家安全局均表示，他们尚未找到证据证明该漏洞已被用于恶意目的。

美国国土安全部（DHS）1月14日同样发布了一项紧急指令，指示美国联邦机构采取一系列步骤，立即在系统上安装补丁。美国国土安全部网络和基础设施安全局高级官员Bryan Ware表示，他们会与私营行业合作伙伴联系，警告漏洞带来的风险。

微软高级主管Jeff Jones在一份声明中称：“一个安全升级已于2020年1月14日推出，自动或手动进行升级的消费者已经得到了保护。”

而实际上，此次美国国家安全局将漏洞通知微软并公开处理，是破天荒的第一次。

据纽约时报1月14日报道，过去多年来，美国国家安全局收集各种形式的计算机漏洞，以获取对数字网络的访问权限、收集情报、研发黑客工具等，用来对付美国的敌人。但是近年来，一些黑客工具落入了网络犯罪份子和其他恶意行为者的手中，这令美国国安局遭到了严厉批评。

纽约时报报道称，通过发现一个严重漏洞并领导对计算机系统进行更新，美国国安局似乎从美国政府的秘密机关向公共服务进行了一次不寻常的战略转变。此举也表明，过去因放任漏洞传播导致数亿美元损失的指责，让美国国安局旧伤未愈。

2017年，微软曾经公开谴责美国国家安全局。

据华尔街日报报道，当时，利用Windows漏洞的美国国家安全局黑客工具被窃后泄露在网络上，导致了一起全球性的网络攻击。

在这种情况下，微软总裁Brad Smith发表了一篇博客文章，批评美国政府出于自身目的将漏洞保密，制造了强大的网络武器，又失去了对它的控制权。Smith当时将这种情况比作“美国军队的战斧导弹（Tomahawk）被偷走了”。

2017年底，特朗普政府发布了首个公开路线图，概述了政府对美国国家安全局已发现的重要网络安全漏洞的政策，通常这些漏洞都在流行的消费者软件里。这一文件为美国国家安全局发现漏洞后何时披露、何时保密，以用于未来可能进行的进攻行动提供了指导。

上述文件中称，关于漏洞的合理处置（Vulnerabilities Equities Process）应“采用法律允许的最低保密级别”写一份年度报告，其中包括一个提供给国会的“非保密级别的，尽可能短小的可执行摘要”。

然而，了解情况的人士介绍，几年过去了，并没有任何信息被公开，美国国会也没有拿到非保密级别的细节，这令国会山感到沮丧。