Slevová nabídka pro více licencí
Počítačová bezpečnost Senátor Wyden prosazuje vyšetřování FTC vůči Microsoftu...

Senátor Wyden prosazuje vyšetřování FTC vůči Microsoftu kvůli zranitelnostem ransomwaru

V roce Sandos v roce Počítačová bezpečnost
Přeložit do:

Americký senátor Ron Wyden formálně vyzval Federální obchodní komisi (FTC) k vyšetřování společnosti Microsoft kvůli tomu, co popisuje jako „hrubou nedbalost v oblasti kybernetické bezpečnosti“ po útoku ransomwaru na poskytovatele zdravotní péče Ascension. Senátorovy obavy se soustředí na to, jak údajně výchozí softwarové konfigurace společnosti Microsoft vystavily kritické sítě infrastruktury útoku.

Spouštěč: Narušení systému Ascension a technické zranitelnosti

  • Přehled incidentu: V loňském roce byl Ascension, významný systém zdravotní péče, zasažen útokem ransomwaru provedeným skupinou známou jako Black Basta , který postihl téměř 5,6 milionu osob . Únik zahrnoval krádež dat a narušení elektronických zdravotních záznamů.
  • Počáteční vektor: Dodavatel pracující pro Ascension klikl na škodlivý odkaz objevený prostřednictvím vyhledávače Bing od společnosti Microsoft. Toto kliknutí spustilo řetězovou reakci, která útočníkům umožnila zneužít nezabezpečená výchozí nastavení v softwaru společnosti Microsoft.
  • Slabá stránka výchozího softwaru: Podle dopisu senátora obsahuje software společnosti Microsoft nebezpečně nezabezpečená výchozí nastavení. Jedním z klíčových problémů je podpora šifrování RC4 v rámci ověřovacího protokolu Kerberos. RC4 je starší šifra, kterou kryptografický výzkum považuje za nezabezpečenou. Ačkoli je v mnoha moderních systémech zastaralá, v případě společnosti Microsoft zůstala ve výchozím nastavení povolena. To útočníkům umožnilo použít techniku známou jako Kerberoasting k extrahování přihlašovacích údajů servisních účtů ze služby Active Directory.

Technické specifikace: Kerberoasting, výchozí šifry a zneužitelné slabiny

  • Vysvětlení Kerberoastingu: V prostředí Active Directory si servisní účty s názvy SPN (Service Principal Names) vyžádají tikety Kerberos. Pokud jsou tyto tikety šifrovány pomocí slabých šifer, jako je RC4, může útočník tikety získat a poté provést offline útoky (např. hrubou silou nebo kryptoanalýzou), aby získal přihlašovací údaje nebo tajné údaje servisního účtu v prostém textu. V tomto případě Wydenova kancelář tvrdí, že k narušení došlo k využití těchto tiketů chráněných šifrováním RC4.
  • Důležitost RC4: RC4 (Rivest Cipher 4), proudová šifra vyvinutá na konci 80. let 20. století, je již po desetiletí známá svými zranitelnostmi – zkreslením v jejím klíčovém proudu a náchylností k obnově prostého textu. Standardizační orgány (např. IETF) od poloviny roku 2010 zakázaly její používání v zabezpečených kanálech, zejména TLS, kvůli těmto nedostatkům. Microsoft stále standardně zahrnoval podporu pro RC4 v protokolu Kerberos, což podle Wydena „zbytečně vystavuje“ zákazníky riziku, když se používají slabá hesla.
  • Síla hesla a servisní účty: Senátor také zdůrazňuje, že společnost Microsoft nevynucuje zásady pro silná hesla (např. minimálně 14 znaků, náhodně generovaná hesla) pro servisní účty, ani nevyžaduje použití silnějších šifrovacích šifer (AES-128 nebo AES-256) pro šifrování tiketů služeb Kerberos, pokud jsou zapojeny SPN. Tyto slabé zásady v kombinaci se slabým výchozím šifrováním zvyšují riziko kompromitace přihlašovacích údajů.
  • Zmírnění rizik doporučená společností Microsoft: V reakci na Wydenův dopis společnost Microsoft zveřejnila pokyny a uvedla, že plánuje postupně ukončit používání RC4. Nastínila také kroky, jako je používání skupinových spravovaných účtů služeb (gMSA) nebo delegovaných spravovaných účtů služeb (dMSA), audit účtů s hlavními názvy služeb (SPN), aktualizace algoritmů šifrování tiketů a nastavení silných, náhodně generovaných hesel pro privilegované účty. Společnost Microsoft dále uvedla, že nové domény služby Active Directory používající systém Windows Server 2025 budou mít od 1. čtvrtletí roku 2026 standard RC4 ve výchozím nastavení zakázán.

    • Regulační a politická obvinění

    • Kritika senátora Wydena jde nad rámec ojedinělého narušení bezpečnosti. Ve svém čtyřstránkovém dopise předsedovi FTC Andrewu Fergusonovi označuje Microsoft za společnost s systémovým problémem: „kulturou nedbalosti v kybernetické bezpečnosti“, kterou umocňuje jeho téměř monopol na podnikové operační systémy. Wyden používá ostrý metaforický jazyk a označuje Microsoft za „žháře prodávajícího hasičské služby svým obětem“.
    • Dopis tvrdí, že výchozí konfigurace společnosti Microsoft (tj. povolení starších, nezabezpečených šifrovacích postupů ve výchozím nastavení a mírnější zásady pro hesla) v průběhu času oslabily základní ochranu v mnoha organizacích – zejména v oblasti zdravotnictví a kritické infrastruktury. Naznačuje se, že zanedbání výchozích nastavení a konfigurace není jen problémem IT, ale také problémem národní bezpečnosti.

    Reakce společnosti Microsoft

    • Uznání, že RC4 je zastaralý a že Microsoft nedoporučuje jeho používání „ve způsobu, jakým navrhujeme náš software, a v dokumentaci pro zákazníky“. Společnost tvrdí, že méně než 0,1 % jejího provozu stále používá RC4. Microsoft však také vyjadřuje obavy, že úplné a okamžité vypnutí RC4 by mohlo způsobit problémy s kompatibilitou se stávajícími prostředími.
  • Společnost Microsoft se zavázala k postupnému ukončení podpory RC4 a zároveň bude zákazníkům i nadále poskytovat důrazná varování a pokyny. Společnost Microsoft dále upozorňuje, že nové domény AD v systému Windows Server 2025 budou ve výchozím nastavení šifrování RC4 deaktivovány.

    • Posouzení bezpečnostních rizik

    • Povrch útoku a kaskádové důsledky: Když dodavatelé softwaru ve výchozím nastavení povolují slabé šifrování nebo slabé zásady pro hesla, poskytují útočníkům „snadný výběr“. I správci systému, kteří si jsou vědomi bezpečnosti, mohou zdědit konfigurace, které povolují RC4 nebo slabé přihlašovací údaje, zejména v prostředích, kde je kontinuita a kompatibilita se staršími systémy vysoce ceněna.
    • Zneužití zranitelností: Útoky Kerberoasting nejsou spekulativní; jsou známé, zdokumentované a byly úspěšně použity v řadě incidentů narušení bezpečnosti. Jakmile jsou přihlašovací údaje k servisnímu účtu ohroženy, útočníci se mohou přesunout laterálně, eskalovat oprávnění a přistupovat k citlivým aktivům. Ve zdravotnictví to může zahrnovat osobní zdravotní údaje, zdravotnická zařízení IoT a kritickou infrastrukturu.
    • Regulační důsledky a důsledky pro důvěru: Vzhledem k tomu, že společnost Microsoft je hluboce zakořeněna v mnoha kritických infrastrukturách a podnikových prostředích, selhání v konfiguraci zabezpečení ve výchozím nastavení automaticky přesouvají břemeno obrany na organizace, kterým může chybět odbornost, zdroje nebo přehled o tom, jak takové slabiny odhalit. Riziko poškození reputace a odpovědnosti je značné.

    Regulační důsledky

    • Tvrzení senátora Wydena vyvolává důležité otázky ohledně odpovědnosti za škodu způsobenou výrobkem , výchozího nastavení zabezpečení a odpovědnosti dodavatelů . Do jaké míry by měli být dodavatelé softwaru zodpovědní za nezabezpečená výchozí nastavení?
    • Regulační nástroje , jako je pravomoc FTC vyšetřovat „nekalé nebo klamavé činy či praktiky“, mohou být uplatněny na zanedbávání softwarové bezpečnosti. Pokud bude shledána nedbalost společnosti Microsoft, mohlo by to vytvořit precedens pro to, jak jsou v široce používaném softwaru regulovány výchozí konfigurace, šifrovací standardy a požadavky na hesla.
    • Existuje také širší normativní problém: zabezpečení ve výchozím nastavení vs. zabezpečení na základě volby . Wydenův postoj naznačuje, že výchozí nastavení by měla být na straně zabezpečení, s vyšší silou hesla, zastaráváním slabých kryptografických algoritmů a bezpečnými konfiguracemi zabudovanými – nikoli jako volitelné přepínače.
  • Dopis senátora Wydena adresovaný Federální obchodní komisi (FTC) zdůrazňuje souhrn kybernetické bezpečnosti, regulace a korporátní odpovědnosti. Únik dat z Ascension je více než jen ojedinělý incident; slouží jako případová studie toho, jak se široce používané softwarové výchozí nastavení, slabé šifrovací standardy a kompatibilita se staršími systémy mohou kombinovat a vést k rozsáhlým útokům na kritickou infrastrukturu.

    • Dopis senátora Wydena adresovaný Federální obchodní komisi (FTC) zdůrazňuje souhrn kybernetické bezpečnosti, regulace a korporátní odpovědnosti. Únik dat z Ascension je více než jen ojedinělý incident; slouží jako případová studie toho, jak se široce používané softwarové výchozí nastavení, slabé šifrovací standardy a kompatibilita se staršími systémy mohou kombinovat a vést k rozsáhlým útokům na kritickou infrastrukturu.

    Vzhledem k tomu, že Microsoft začíná postupně ukončovat používání nezabezpečených šifer a publikovat pokyny, zůstává ústřední otázkou, zda regulační mechanismy budou vyžadovat rychlejší změny, vynucovat lepší výchozí hodnoty a pohnat dodavatele k odpovědnosti za umožnění vzniku rizik. Tato záležitost si zaslouží pečlivé zkoumání – nejen ze strany bezpečnostních výzkumníků, ale i ze strany regulačních orgánů, podnikových zákazníků a široké veřejnosti.

    Načítání...