美國網路安全審查委員會（US Cyber​​ Safety Review Board）的一份新報告發現，去年微軟本可以阻止中國駭客透過其微軟Exchange線上軟體入侵美國政府的電子郵件。該事件被描述為微軟”一連串的安全失誤”，使中國國家支持的駭客能夠訪問22 個組織的線上電子郵件收件箱，影響到500 多人，其中包括從事國家安全工作的美國政府僱員。

美國國土安全部（DHS）發布了一份措辭嚴厲的報告，認為這次黑客攻擊是”可以預防的”，微軟內部的一些決策導致了”企業文化將企業安全投資和嚴格的風險管理置於次要地位”。

駭客使用取得的微軟帳戶（MSA）消費者金鑰偽造了存取網路Outlook（OWA）和Outlook.com 的代幣。報告明確指出，微軟仍不確定密鑰到底是如何被盜的，但主要的推測是密鑰是崩潰轉儲文件的一部分。微軟在9 月公佈了這一理論，並在最近更新了部落格文章，承認”我們沒有發現包含受影響密鑰材料的崩潰轉儲”。

由於無法存取崩潰轉儲，微軟無法確定金鑰到底是如何被竊取的。微軟在其更新的博文中說：”我們的主要假設仍然是，操作失誤導緻密鑰材料離開了安全令牌簽名環境，隨後在調試環境中通過一個洩露的工程帳戶被訪問。”

微軟Exchange Online 駭客攻擊事件的時間軸

微軟在11 月向網路安全審查委員會承認其9 月份的部落格文章不准確，但”在委員會多次詢問微軟是否計劃發布更正”後，微軟在幾個月後的3 月12 日才更正了該文章。雖然微軟全力配合了委員會的調查，但結論是微軟的安全文化需要徹底改變。

網路安全審查委員會表示：”委員會認為，這次入侵是可以預防的，根本不應該發生。”委員會還得出結論，”微軟的安全文化不足，需要進行徹底改革，特別是考慮到該公司在技術生態系統中的核心地位，以及客戶對該公司保護其資料和業務的信任程度。”

就在委員會得出這一結論的同一周，微軟推出了其專為網路安全專業人士設計的人工智慧聊天機器人– Copilot for Security。作為消費模式的一部分，微軟將向企業收取每小時4美元的費用，以使用這款最新的人工智慧工具。

Nobelium 是SolarWinds 攻擊事件的幕後黑手，它曾在幾個月內偷窺了一些微軟高階主管的電子郵件信箱。微軟最近承認，該組織訪問了該公司的原始碼庫和內部系統。

繼去年美國政府電子郵件外洩事件和近年來類似的網路安全攻擊事件之後，微軟公司目前正試圖全面改革其軟體安全。微軟新的”安全未來計畫”（Secure Future Initiative，SFI）旨在全面改革其軟體和服務的設計、建構、測試和運作方式。這是自2003年破壞性的Blaster蠕蟲病毒導致Windows XP機器大面積中招後，微軟於2004年推出安全開發生命週期（SDL）以來，在安全方面做出的最大改變。