El senador Wyden impulsa una investigació de la FTC sobre Microsoft per vulnerabilitats de ransomware

El Sandos el Seguretat informàtica

Traduir a:

El senador nord-americà Ron Wyden ha demanat formalment a la Comissió Federal de Comerç (FTC) que investigui Microsoft pel que descriu com a "negligència greu en ciberseguretat" després d'un atac de ransomware contra el proveïdor d'atenció mèdica Ascension. La preocupació del senador se centra en com les configuracions de programari predeterminades de Microsoft presumptament van exposar les xarxes d'infraestructures crítiques a atacs.

Taula de continguts

El desencadenant: la bretxa de l'ascens i les vulnerabilitats tècniques

Resum de l'incident: L'any passat, Ascension, un important sistema sanitari, va ser afectat per un atac de ransomware dut a terme pel grup conegut com a Black Basta , que va afectar gairebé 5,6 milions de persones . La violació va incloure el robatori de dades, així com la interrupció dels registres mèdics electrònics.
Vector inicial: Un contractista que treballava per a Ascension va fer clic en un enllaç maliciós descobert a través del motor de cerca Bing de Microsoft. Aquest clic va desencadenar reaccions en cadena que van permetre als atacants explotar els valors predeterminats insegurs del programari de Microsoft.
Debilitat del programari per defecte: Segons la carta del senador, el programari de Microsoft inclou configuracions per defecte perillosament insegures. Un problema clau és la compatibilitat amb el xifratge RC4 dins del protocol d'autenticació Kerberos. RC4 és un xifratge antic considerat insegur per la investigació criptogràfica. Tot i que està obsolet en molts sistemes moderns, en el cas de Microsoft va romandre habilitat per defecte. Això va permetre als atacants utilitzar una tècnica coneguda com a Kerberoasting per extreure les credencials del compte de servei de l'Active Directory.

Especificitats tècniques: Kerberoasting, xifratges per defecte i debilitats explotables

Explicació de Kerberoasting: En un entorn d'Active Directory, els comptes de servei amb noms principals de servei (SPN) sol·liciten tiquets de Kerberos. Si aquests tiquets estan xifrats amb xifratges febles com ara RC4, un atacant pot obtenir el tiquet i, a continuació, realitzar atacs fora de línia (per exemple, força bruta o criptoanàlisi) per recuperar les credencials o els secrets de text sense format del compte de servei. En aquest cas, l'oficina de Wyden afirma que la violació va utilitzar aquests tiquets protegits per RC4.

Importància de RC4: RC4 (Rivest Cipher 4), un xifratge de flux desenvolupat a finals dels anys vuitanta, és conegut des de fa dècades per tenir vulnerabilitats: biaixos en el seu flux de claus i susceptibilitat a la recuperació de text sense format. Els organismes d'estàndards (per exemple, l'IETF) n'han prohibit l'ús en canals segurs, especialment TLS, des de mitjans dels anys 2010 a causa d'aquests defectes. Microsoft encara incloïa compatibilitat amb RC4 a Kerberos per defecte, cosa que, segons Wyden, "exposa innecessàriament" els clients quan s'utilitzen contrasenyes febles.

Força de la contrasenya i comptes de servei: El senador també destaca que Microsoft no aplica polítiques de contrasenya robusta (per exemple, mínim de 14 caràcters, contrasenyes generades aleatòriament) per als comptes de servei, ni tampoc exigeix l'ús de xifratges més forts (AES-128 o AES-256) per al xifratge de tiquets de servei Kerberos quan hi ha SPN implicats. Aquestes polítiques febles, combinades amb un xifratge per defecte feble, augmenten el risc de compromís de credencials.

Mitigacions que Microsoft recomana: En resposta a la carta de Wyden, Microsoft ha publicat una guia i ha dit que té previst eliminar gradualment l'ús de RC4. També ha descrit passos com ara l'ús de comptes de servei gestionats de grup (gMSA) o comptes de servei gestionats delegats (dMSA), l'auditoria de comptes amb SPN, l'actualització dels algoritmes de xifratge de tiquets i la configuració de contrasenyes fortes i generades aleatòriament per a comptes privilegiats. Microsoft ha revelat a més que els nous dominis de l'Active Directory que utilitzen Windows Server 2025 tindran RC4 desactivat per defecte a partir del primer trimestre del 2026.

Al·legacions normatives i polítiques

La crítica del senador Wyden va més enllà d'una simple bretxa. En la seva carta de quatre pàgines al president de la FTC, Andrew Ferguson, presenta Microsoft com a persona amb un problema sistèmic: una "cultura de ciberseguretat negligent" augmentada pel seu quasi monopoli sobre els sistemes operatius empresarials. Wyden utilitza un llenguatge metafòric agut, qualificant Microsoft d'"un incendiari que ven serveis d'extinció d'incendis a les seves víctimes".
La carta afirma que les configuracions predeterminades de Microsoft (és a dir, l'habilitació del xifratge heretat i insegur per defecte, les polítiques de contrasenya indulgents) han debilitat amb el temps les proteccions de base en moltes organitzacions, especialment les del sector sanitari i les infraestructures crítiques. El suggeriment és que la negligència en els valors predeterminats i la configuració no és només un problema de TI, sinó una preocupació per la seguretat nacional.

Resposta de Microsoft

Reconeixement que RC4 és antiquat i que Microsoft desaconsella el seu ús "en la manera com dissenyem el nostre programari i en la documentació que oferim als clients". L'empresa afirma que menys del 0,1% del seu trànsit encara utilitza RC4. Tanmateix, Microsoft també expressa la seva preocupació pel fet que la desactivació completa i immediata de RC4 podria causar problemes de compatibilitat amb els entorns existents.

Microsoft s'ha compromès a eliminar gradualment la compatibilitat amb RC4, alhora que continua proporcionant avisos i orientacions contundents als clients. A més, Microsoft assenyala que els nous dominis AD al Windows Server 2025 desactivaran, per defecte, el xifratge RC4.

Avaluació de riscos de seguretat

Superfície d'atac i conseqüències en cascada: Quan els proveïdors de programari permeten un xifratge feble per defecte o polítiques de contrasenya febles, ofereixen una "opció fàcil" als atacants. Fins i tot els administradors de sistemes que coneixen la seguretat poden heretar configuracions que permeten RC4 o credencials febles, sobretot en entorns on la continuïtat i la compatibilitat heretada són molt valorades.
Explotacions de vulnerabilitats: Els atacs de kerberoasting no són especulatius; són coneguts, documentats i s'han utilitzat amb èxit en múltiples incidents de violació de seguretat. Un cop compromeses les credencials del compte de servei, els atacants poden moure's lateralment, escalar privilegis i accedir a actius sensibles. En entorns sanitaris, això pot incloure dades personals de salut, dispositius mèdics d'IoT i infraestructures crítiques.
Implicacions normatives i de confiança: Com que Microsoft està profundament integrat en moltes infraestructures crítiques i entorns empresarials, els errors en la configuració de la seguretat per defecte traslladen automàticament la càrrega de la defensa a les organitzacions que poden no tenir experiència, recursos o visibilitat per detectar aquestes debilitats. El dany a la reputació i el risc de responsabilitat són substancials.

Implicacions reguladores

L'al·legació del senador Wyden planteja preguntes importants sobre la responsabilitat del producte , la configuració de seguretat per defecte i la responsabilitat del proveïdor . Fins a quin punt els proveïdors de programari han de ser considerats responsables dels defectes insegurs?
Eines reguladores com l'autoritat de la FTC per investigar "actes o pràctiques injustes o enganyoses" es poden aplicar a la negligència en matèria de seguretat del programari. Si es descobreix que Microsoft ha estat negligent, això podria establir un precedent sobre com es regulen les configuracions predeterminades, els estàndards de xifratge i els requisits de contrasenya en el programari d'ús generalitzat.
També hi ha una qüestió normativa més àmplia: seguretat per defecte vs. seguretat per opció . La posició de Wyden implica que els valors per defecte haurien de pecar de més segurs, amb una major força de contrasenya, la desaprovació d'algoritmes criptogràfics febles i configuracions segures integrades, no com a opcions opcionals.

La carta del senador Wyden a la FTC destaca una confluència de ciberseguretat, regulació i responsabilitat corporativa. La violació d'Ascension és més que un incident únic; serveix com a cas pràctic de com els errors de programari àmpliament utilitzats, els estàndards de xifratge febles i la compatibilitat heretada es poden combinar per precipitar atacs a gran escala contra infraestructures crítiques.

A mesura que Microsoft comença a eliminar gradualment els xifrats insegurs i a publicar directrius, la pregunta central continua sent si els mecanismes reguladors exigiran canvis més ràpids, imposaran millors valors per defecte i responsabilitzaran els proveïdors de permetre el risc. Aquest assumpte mereix un examen minuciós, no només per part d'investigadors de seguretat, sinó també dels reguladors, els clients empresarials i el públic en general.

El processador de pagaments d'EnigmaSoft, Digital River GmbH, la declaració de fallida no afecta la protecció antimalware dels clients de SpyHunter

Cerca

Canvia de regió