عرض خصم التراخيص المتعددة
أمن الكمبيوتر السيناتور وايدن يدفع لجنة التجارة الفيدرالية إلى التحقيق...

السيناتور وايدن يدفع لجنة التجارة الفيدرالية إلى التحقيق في مايكروسوفت بشأن ثغرات برامج الفدية

بواسطة Sandos في أمن الكمبيوتر
ترجمة الى:

دعا السيناتور الأمريكي رون وايدن رسميًا لجنة التجارة الفيدرالية (FTC) للتحقيق مع مايكروسوفت لما وصفه بـ"إهمال جسيم في الأمن السيبراني" عقب هجوم ببرنامج فدية على شركة أسينشن للرعاية الصحية. وينصبّ قلق السيناتور على كيفية تعريض إعدادات برامج مايكروسوفت الافتراضية، المزعومة، شبكات البنية التحتية الحيوية للهجوم.

المحفز: اختراق الصعود والثغرات التقنية

  • نظرة عامة على الحادثة: في العام الماضي، تعرضت شركة أسينشن، وهي نظام رعاية صحية رئيسي، لهجوم فدية شنته مجموعة تُعرف باسم بلاك باستا ، مما أثر على ما يقرب من 5.6 مليون شخص . تضمن الاختراق سرقة بيانات، بالإضافة إلى تعطيل السجلات الصحية الإلكترونية.
  • المتجه الأولي: نقر متعاقد يعمل لدى شركة Ascension على رابط خبيث تم اكتشافه عبر محرك بحث Bing التابع لشركة Microsoft. أثار هذا النقر تفاعلات متسلسلة سمحت للمهاجمين باستغلال الإعدادات الافتراضية غير الآمنة في برامج Microsoft.
  • نقطة ضعف في البرنامج الافتراضي: وفقًا لرسالة السيناتور، يتضمن برنامج مايكروسوفت إعدادات افتراضية غير آمنة بشكل خطير. إحدى المشكلات الرئيسية هي دعم تشفير RC4 ضمن بروتوكول مصادقة Kerberos. يُعد RC4 تشفيرًا قديمًا يُعتبر غير آمن وفقًا لأبحاث التشفير. على الرغم من إهماله في العديد من الأنظمة الحديثة، إلا أنه ظل مُفعّلًا افتراضيًا في حالة مايكروسوفت. سمح هذا للمهاجمين باستخدام تقنية تُعرف باسم Kerberoasting لاستخراج بيانات اعتماد حسابات الخدمة من Active Directory.

المواصفات الفنية: Kerberosting، والتشفير الافتراضي، والنقاط الضعيفة القابلة للاستغلال

  • شرح Kerberosting: في بيئة Active Directory، تطلب حسابات الخدمة ذات أسماء الجهات الرئيسية للخدمة (SPNs) تذاكر Kerberos. إذا كانت هذه التذاكر مشفرة باستخدام تشفير ضعيف مثل RC4، فيمكن للمهاجم الحصول عليها، ثم تنفيذ هجمات غير متصلة بالإنترنت (مثل القوة الغاشمة أو تحليل الشفرات) لاستعادة بيانات اعتماد أو أسرار حساب الخدمة المكتوبة بنص عادي. في هذه الحالة، يدّعي مكتب وايدن أن الاختراق استغل هذه التذاكر المحمية بـ RC4.
  • أهمية RC4: لطالما عُرفت RC4 (Rivest Cipher 4)، وهي شفرة تدفق طُوّرت في أواخر ثمانينيات القرن الماضي، بثغراتها الأمنية - انحيازات في مسارها الرئيسي وقابليتها لاستعادة النص العادي. حظرت هيئات المعايير (مثل IETF) استخدامها في القنوات الآمنة، وخاصةً TLS، منذ منتصف العقد الأول من القرن الحادي والعشرين بسبب هذه العيوب. لا تزال مايكروسوفت تُضمّن دعم RC4 في Kerberos افتراضيًا، وهو ما يُعرّض العملاء للخطر دون داعٍ، وفقًا لوايدن، عند استخدام كلمات مرور ضعيفة.
  • قوة كلمات المرور وحسابات الخدمة: يُشير السيناتور أيضًا إلى أن مايكروسوفت لا تُطبّق سياسات كلمات مرور قوية (مثل: حد أدنى من 14 حرفًا، وكلمات مرور مُولّدة عشوائيًا) لحسابات الخدمة، ولا تُلزم باستخدام تشفير أقوى (AES-128 أو AES-256) لتشفير تذكرة خدمة Kerberos عند استخدام أسماء الخدمة الأساسية (SPNs). تُفاقم هذه السياسات الضعيفة، إلى جانب ضعف التشفير الافتراضي، من خطر اختراق بيانات الاعتماد.
  • إجراءات التخفيف التي توصي بها مايكروسوفت: ردًا على رسالة وايدن، نشرت مايكروسوفت إرشاداتٍ وأعلنت أنها تخطط للتخلص التدريجي من استخدام RC4. كما حددت خطواتٍ مثل استخدام حسابات الخدمات المُدارة الجماعية (gMSA) أو حسابات الخدمات المُدارة المُفوضة (dMSA)، وتدقيق الحسابات باستخدام أسماء الخدمة الأساسية (SPN)، وتحديث خوارزميات تشفير التذاكر، وتعيين كلمات مرور قوية ومُولّدة عشوائيًا للحسابات ذات الامتيازات. كما كشفت مايكروسوفت أن نطاقات Active Directory الجديدة التي تستخدم Windows Server 2025 ستُعطّل RC4 افتراضيًا بدءًا من الربع الأول من عام 2026.

    • الادعاءات التنظيمية والسياسية

    • يتجاوز نقد السيناتور وايدن مجرد خرق فردي. ففي رسالته المكونة من أربع صفحات إلى رئيس لجنة التجارة الفيدرالية أندرو فيرغسون، وصف مايكروسوفت بأنها تعاني من مشكلة منهجية: "ثقافة إهمال الأمن السيبراني" التي تفاقمت بسبب احتكارها شبه الكامل لأنظمة تشغيل المؤسسات. ويستخدم وايدن لغة مجازية حادة، واصفًا مايكروسوفت بأنها "مُشعل حرائق يبيع خدمات إطفاء الحرائق لضحاياه".
    • تؤكد الرسالة أن إعدادات مايكروسوفت الافتراضية (أي تفعيل التشفير القديم غير الآمن افتراضيًا، وسياسات كلمات المرور المتساهلة) قد أضعفت مع مرور الوقت الحماية الأساسية في العديد من المؤسسات، وخاصةً تلك العاملة في مجال الرعاية الصحية والبنية التحتية الحيوية. وتشير الرسالة إلى أن الإهمال في الإعدادات الافتراضية والتكوين ليس مجرد مشكلة تتعلق بتكنولوجيا المعلومات، بل هو أيضًا مصدر قلق للأمن القومي.

    رد مايكروسوفت

    • إقرارٌ بأن RC4 قديم ، وأن مايكروسوفت لا تشجع على استخدامه "في تصميم برامجنا وفي وثائقنا المقدمة للعملاء". تزعم الشركة أن أقل من 0.1% من حركة مرور بياناتها لا تزال تستخدم RC4. ومع ذلك، تُعرب مايكروسوفت أيضًا عن قلقها من أن تعطيل RC4 بالكامل فورًا قد يُسبب مشاكل في التوافق مع البيئات الحالية.
  • التزمت مايكروسوفت بإلغاء دعم RC4 تدريجيًا، مع استمرارها في إصدار تحذيرات وتوجيهات صارمة للعملاء. إضافةً إلى ذلك، تُشير مايكروسوفت إلى أن نطاقات AD الجديدة في Windows Server 2025 ستُعطّل تشفير RC4 افتراضيًا.

    • تقييم المخاطر الأمنية

    • سطح الهجوم والعواقب المتتالية: عندما يسمح مُصنِّعو البرامج بتشفير ضعيف افتراضيًا أو سياسات كلمات مرور ضعيفة، فإنهم يُوفِّرون "فرصة سهلة" للمهاجمين. حتى مسؤولي النظام المُلِمّين بالأمن قد يرثون تكوينات تسمح بـ RC4 أو بيانات اعتماد ضعيفة، خاصةً في البيئات التي تُعَدّ فيها الاستمرارية والتوافق مع الإصدارات القديمة ذات قيمة كبيرة.
    • استغلال الثغرات الأمنية: هجمات Kerberosting ليست افتراضية، بل هي معروفة وموثقة، وقد استُخدمت بنجاح في العديد من حوادث الاختراق. بمجرد اختراق بيانات اعتماد حسابات الخدمة، يمكن للمهاجمين التحرك بشكل غير قانوني، وتصعيد صلاحياتهم، والوصول إلى أصول حساسة. في بيئات الرعاية الصحية، قد يشمل ذلك بيانات الصحة الشخصية، وأجهزة إنترنت الأشياء الطبية، والبنية التحتية الحيوية.
    • التداعيات التنظيمية والثقة: نظرًا لانغماس مايكروسوفت العميق في العديد من بيئات البنى التحتية والمؤسسات الحيوية، فإن أي فشل في تهيئة الأمان افتراضيًا يُحمّل تلقائيًا عبء الدفاع على المؤسسات التي قد تفتقر إلى الخبرة أو الموارد أو الرؤية اللازمة لاكتشاف هذه الثغرات. ويُعدّ الضرر الذي يلحق بالسمعة ومخاطر المسؤولية جسيمة.

    التداعيات التنظيمية

    • يثير ادعاء السيناتور وايدن تساؤلاتٍ مهمة حول مسؤولية المنتج ، وإعدادات الأمان الافتراضية ، ومسؤولية البائعين . إلى أي مدى ينبغي محاسبة بائعي البرامج على التقصيرات غير الآمنة؟
    • قد تُطبّق أدوات تنظيمية ، مثل سلطة لجنة التجارة الفيدرالية (FTC) للتحقيق في "الأفعال أو الممارسات غير العادلة أو المخادعة"، على إهمال أمن البرمجيات. إذا ثبت إهمال مايكروسوفت، فقد يُشكّل ذلك سابقةً في كيفية تنظيم التكوينات الافتراضية ومعايير التشفير ومتطلبات كلمات المرور في البرمجيات واسعة الاستخدام.
    • هناك أيضًا مسألة معيارية أوسع نطاقًا: التأمين الافتراضي مقابل التأمين الاختياري . يشير موقف وايدن إلى أن الإعدادات الافتراضية يجب أن تراعي الجانب الأمني، مع زيادة قوة كلمات المرور، وإلغاء الاعتماد على خوارزميات التشفير الضعيفة، ودمج إعدادات الأمان - وليس كخيارات اختيارية.
  • تُسلّط رسالة السيناتور وايدن إلى لجنة التجارة الفيدرالية الضوء على التقاء الأمن السيبراني والتنظيم والمساءلة المؤسسية. ويُعدّ اختراق أسينشن أكثر من مجرد حادثة فردية؛ فهو يُمثّل دراسة حالة حول كيفية تضافر ثغرات البرامج الشائعة، وضعف معايير التشفير، وضعف التوافق مع الأنظمة القديمة، لتسريع هجمات واسعة النطاق على البنية التحتية الحيوية.

    • تُسلّط رسالة السيناتور وايدن إلى لجنة التجارة الفيدرالية الضوء على التقاء الأمن السيبراني والتنظيم والمساءلة المؤسسية. ويُعدّ اختراق أسينشن أكثر من مجرد حادثة فردية؛ فهو يُمثّل دراسة حالة حول كيفية تضافر ثغرات البرامج الشائعة، وضعف معايير التشفير، وضعف التوافق مع الأنظمة القديمة، لتسريع هجمات واسعة النطاق على البنية التحتية الحيوية.

    مع بدء مايكروسوفت في التخلص التدريجي من التشفير غير الآمن ونشر الإرشادات، يبقى السؤال المحوري: هل ستطالب الآليات التنظيمية بتغييرات أسرع، وتفرض إعدادات افتراضية أفضل، وتحاسب الموردين على تمكين المخاطر؟ تستحق هذه المسألة تدقيقًا دقيقًا، ليس فقط من باحثي الأمن، بل من الجهات التنظيمية وعملاء الشركات وعامة الناس.

    جار التحميل...