Оферта за отстъпка за множество лицензи
Компютърна сигурност Сенатор Уайдън настоява за разследване от Федералната...

Сенатор Уайдън настоява за разследване от Федералната търговска комисия (FTC) срещу Microsoft заради уязвимости в ransomware

До Sandos през Компютърна сигурностг
Превод на:

Американският сенатор Рон Уайдън официално призова Федералната търговска комисия (FTC) да разследва Microsoft за това, което той описва като „груба небрежност по отношение на киберсигурността“ след атака с ransomware срещу доставчика на здравни услуги Ascension. Загрижеността на сенатора е съсредоточена върху това как конфигурациите на софтуера по подразбиране на Microsoft са изложили критични инфраструктурни мрежи на атака.

Спусъкът: Пробивът на Ascension и техническите уязвимости

  • Общ преглед на инцидента: Миналата година Ascension, голяма здравна система, беше засегната от атака с ransomware, извършена от групата, известна като Black Basta , която засегна близо 5,6 милиона души . Пробивът включваше кражба на данни, както и нарушаване на електронните здравни досиета.
  • Първоначален вектор: Изпълнител, работещ за Ascension, е кликнал върху злонамерен линк, открит чрез търсачката Bing на Microsoft. Това кликване е предизвикало верижна реакция, която е позволила на атакуващите да използват несигурни настройки по подразбиране в софтуера на Microsoft.
  • Слабост на софтуера по подразбиране: Според писмото на сенатора, софтуерът на Microsoft включва опасно несигурни настройки по подразбиране. Един от ключовите проблеми е поддръжката на RC4 криптиране в протокола за удостоверяване Kerberos. RC4 е остарял шифър, считан за несигурен от криптографските изследвания. Въпреки че е остарял в много съвременни системи, в случая на Microsoft той остава активиран по подразбиране. Това позволява на нападателите да използват техника, известна като Kerberoasting , за да извлекат идентификационни данни за сервизни акаунти от Active Directory.

Технически спецификации: Kerberoasting, шифри по подразбиране и експлоатираеми слабости

  • Обяснение на Kerberoasting: В среда на Active Directory, сервизни акаунти с имена на главни услуги (SPN) изискват Kerberos билети. Ако тези билети са криптирани с помощта на слаби шифри като RC4, атакуващият може да получи билета, след което да извърши офлайн атаки (напр. груба сила или криптоанализ), за да възстанови идентификационните данни или тайните на сервизния акаунт в открит текст. В този случай офисът на Wyden твърди, че пробивът е използвал тези защитени с RC4 билети.
  • RC4 е важен: RC4 (Rivest Cipher 4), стрийминг шифър, разработен в края на 80-те години на миналия век, е известен от десетилетия със своите уязвимости – отклонения в ключовия поток и уязвимост към възстановяване на открит текст. Стандартизиращите организации (напр. IETF) забраняват използването му в защитени канали, особено TLS, от средата на 2010-те години поради тези недостатъци. Microsoft все още включва поддръжка за RC4 в Kerberos по подразбиране, което според Уайдън „ненужно излага на риск“ клиентите, когато се използват слаби пароли.
  • Силни пароли и сервизни акаунти: Сенаторът също така подчертава, че Microsoft не налага правила за силни пароли (напр. минимум 14 знака, произволно генерирани пароли) за сервизни акаунти, нито изисква използването на по-силни шифри за криптиране (AES-128 или AES-256) за криптиране на билети за услуги Kerberos, когато са включени SPN. Тези слаби правила, комбинирани със слабо криптиране по подразбиране, увеличават риска от компрометиране на идентификационните данни.
  • Смекчаващи мерки, препоръчвани от Microsoft: В отговор на писмото на Уайдън, Microsoft публикува насоки и заяви, че планира постепенно да премахне използването на RC4. Тя също така очерта стъпки като използване на групови управлявани акаунти за услуги (gMSA) или делегирани управлявани акаунти за услуги (dMSA), одит на акаунти с SPN, актуализиране на алгоритми за криптиране на билети и задаване на силни, произволно генерирани пароли за привилегировани акаунти. Microsoft допълнително разкри, че новите домейни на Active Directory, използващи Windows Server 2025, ще имат деактивиран RC4 по подразбиране, считано от първото тримесечие на 2026 г.

    • Твърдения относно регулаторните и политическите въпроси

    • Критиката на сенатор Уайдън надхвърля еднократното нарушение. В четиристраничното си писмо до председателя на Федералната търговска комисия Андрю Фъргюсън той определя Microsoft като проблем със системен характер: „култура на небрежна киберсигурност“, допълнена от почти монопола на компанията върху корпоративните операционни системи. Уайдън използва остър метафоричен език, наричайки Microsoft подобна на „подпалвач, продаващ пожарогасителни услуги на своите жертви“.
    • В писмото се твърди, че конфигурациите по подразбиране на Microsoft (т.е. активиране на остаряло, несигурно криптиране по подразбиране, снизходителни политики за пароли) с течение на времето са отслабили основните защити в много организации – особено тези в здравеопазването и критичната инфраструктура. Предположението е, че небрежността по отношение на настройките по подразбиране и конфигурацията не е само ИТ проблем, а проблем за националната сигурност.

    Отговорът на Microsoft

    • Признание, че RC4 е остарял и че Microsoft не насърчава използването му „в начина, по който разработваме нашия софтуер и в нашата документация за клиентите“. Компанията твърди, че по-малко от 0,1% от трафика ѝ все още използва RC4. Microsoft обаче изразява загриженост, че пълното деактивиране на RC4 може да причини проблеми със съвместимостта със съществуващите среди.
  • Microsoft се ангажира постепенно да премахне поддръжката на RC4, като същевременно продължи да предоставя строги предупреждения и насоки на клиентите. Освен това Microsoft отбелязва, че новите AD домейни в Windows Server 2025 по подразбиране ще деактивират RC4 криптирането.

    • Оценка на риска за сигурността

    • Повърхност на атаката и каскадни последици: Когато доставчиците на софтуер позволяват слабо криптиране по подразбиране или слаби политики за пароли, те предоставят „лесен избор“ на атакуващите. Дори системните администратори, които са запознати със сигурността, могат да наследят конфигурации, които позволяват RC4 или слаби идентификационни данни, особено в среди, където непрекъснатостта и съвместимостта със стари системи са силно ценени.
    • Експлоатиране на уязвимости: Kerberoasting атаките не са спекулативни; те са известни, документирани и са използвани успешно при множество инциденти с нарушения. След като идентификационните данни на сервизния акаунт бъдат компрометирани, нападателите могат да се движат странично, да ескалират привилегиите и да имат достъп до чувствителни активи. В здравните заведения това може да включва лични здравни данни, медицински устройства на IoT и критична инфраструктура.
    • Последици за регулаторните органи и доверието: Тъй като Microsoft е дълбоко вградена в много критични инфраструктурни и корпоративни среди, грешките в конфигурирането на сигурността по подразбиране автоматично прехвърлят тежестта на защитата върху организации, на които може да им липсват експертиза, ресурси или видимост за откриване на подобни слабости. Рискът от щети за репутацията и отговорност са значителни.

    Регулаторни последици

    • Твърдението на сенатор Уайдън повдига важни въпроси относно отговорността за продукта , настройките за сигурност по подразбиране и отговорността на доставчиците . До каква степен доставчиците на софтуер трябва да бъдат държани отговорни за несигурни настройки по подразбиране?
    • Регулаторни инструменти като правомощията на Федералната търговска комисия (FTC) да разследва „нелоялни или подвеждащи действия или практики“ могат да бъдат приложени към пренебрегване на софтуерната сигурност. Ако бъде установено, че Microsoft е извършила небрежност, това би могло да създаде прецедент за това как се регулират конфигурациите по подразбиране, стандартите за криптиране и изискванията за пароли в широко използвания софтуер.
    • Съществува и по-широк нормативен въпрос: сигурност по подразбиране срещу сигурност по опция . Позицията на Уайдън предполага, че настройките по подразбиране трябва да са в полза на сигурността, с по-висока сила на паролата, отказ от слаби криптографски алгоритми и вградени безопасни конфигурации, а не като опционални превключватели.
  • Писмото на сенатор Уайдън до Федералната търговска комисия (FTC) подчертава съчетанието на киберсигурност, регулации и корпоративна отчетност. Пробивът в Ascension е повече от единичен инцидент; той служи като казус за това как широко използваните софтуерни настройки подразбиране, слабите стандарти за криптиране и съвместимостта със стари системи могат да се комбинират, за да предизвикат мащабни атаки срещу критична инфраструктура.

    • Писмото на сенатор Уайдън до Федералната търговска комисия (FTC) подчертава съчетанието на киберсигурност, регулации и корпоративна отчетност. Пробивът в Ascension е повече от единичен инцидент; той служи като казус за това как широко използваните софтуерни настройки подразбиране, слабите стандарти за криптиране и съвместимостта със стари системи могат да се комбинират, за да предизвикат мащабни атаки срещу критична инфраструктура.

    Тъй като Microsoft започва постепенно да премахва несигурните шифри и да публикува насоки, централният въпрос остава дали регулаторните механизми ще изискват по-бързи промени, ще налагат по-добри настройки по подразбиране и ще държат доставчиците отговорни за допускането на риск. Този въпрос заслужава внимателно разглеждане – не само от изследователи в областта на сигурността, но и от регулаторни органи, корпоративни клиенти и широката общественост.

    Зареждане...