Não posso precisar, mas a primeira vez que ouvi falar de SQL Injection deve andar a rondar uma década quando o rain forest puppy publicou na Phrack um artigo sobre as implicações de segurança que a vulnerabilidade pode implicar.

Parece que existe muito webmaster que só agora soube do termo, sinal de ignorância profissional já que a maioria das linguagens para a web possuem funções específicas de modo a prevenir estes ataques. Ninguém pode afirmar que está imune aos mesmos, mas um script automático descobrir e explorar aleatoriamente 500 mil sites em ASP/X vulneráveis é deveras preocupante para todos os utilizadores da rede.

all your windoze are belong to us!

O ataque é transversal, mas por alguma razão alguém preferiu direccioná-lo aos produtos da Microsoft, talvez acredite que quem os usa por norma dê menos atenção a "essas coisas da segurança".
Quiçá daqui a uma semana não seja lançado o mesmo ataque contra os LAMP e se possa ter um ponto de comparação.

Já li outros comentários sobre este assunto, e ainda não me é claro se a Microsoft tem responsabilidades ou não neste acontecimento. Podia-me explicar?

Ricardo, a resposta mais neutra é que a Microsoft não tem responsabilidades neste assunto em particular.

No entanto este ataque é específico a páginas ASP(X) com ligação a um MS SQL server, visto que o SQL statements feitos apenas são válidos nesta plataforma. O criador do ataque não explorou nenhum bug, mas sim funcionalidades que outras linguagens e Base de dados não permitem, como por exemplo a ADO permitir executar vários statements numa só chamada à função (JDBC ou mysql_query() no PHP não permitem tal).
Aqui a responsabilidade é de quem faz o código e não domina os produtos que escolhe, se a Microsoft tem alguma responsabilidade será na forma como à décadas não vem consciencializando os seus seguidores para a componente de segurança.