Rabattilbud med flere licenser
Computersikkerhed Senator Wyden iværksætter FTC-undersøgelse af Microsofts...

Senator Wyden iværksætter FTC-undersøgelse af Microsofts sårbarheder i ransomware

Med Sandos i Computersikkerhed
Oversæt til:

Den amerikanske senator Ron Wyden har formelt opfordret den føderale handelskommission (FTC) til at undersøge Microsoft for, hvad han beskriver som "grov cybersikkerhedsfejl" efter et ransomware-angreb på sundhedsudbyderen Ascension. Senatorens bekymring drejer sig om, hvordan Microsofts standardsoftwarekonfigurationer angiveligt udsatte kritiske infrastrukturnetværk for angreb.

Udløseren: Ascension-bruddet og tekniske sårbarheder

  • Hændelsesoversigt: Sidste år blev Ascension, et større sundhedssystem, ramt af et ransomware-angreb udført af gruppen kendt som Black Basta , der påvirkede næsten 5,6 millioner individer . Angrebet involverede datatyveri samt afbrydelse af elektroniske patientjournaler.
  • Initial vektor: En leverandør, der arbejdede for Ascension, klikkede på et ondsindet link, der blev opdaget via Microsofts Bing-søgemaskine. Dette klik udløste kædereaktioner, der gjorde det muligt for angribere at udnytte usikre standardindstillinger i Microsoft-software.
  • Standard softwaresvaghed: Ifølge senatorens brev indeholder Microsofts software farligt usikre standardindstillinger. Et centralt problem er understøttelse af RC4-kryptering i Kerberos-godkendelsesprotokollen. RC4 er en ældre krypteringsmetode, der af kryptografisk forskning anses for at være usikker. Selvom den er forældet i mange moderne systemer, forblev den i Microsofts tilfælde aktiveret som standard. Dette tillod angribere at bruge en teknik kendt som Kerberoasting til at udtrække servicekontooplysninger fra Active Directory.

Tekniske specifikationer: Kerberoasting, standardchiffere og udnyttelige svagheder

  • Kerberoasting forklaret: I et Active Directory-miljø anmoder servicekonti med Service Principal Names (SPN'er) om Kerberos-tickets. Hvis disse tickets er krypteret ved hjælp af svage cifre som RC4, kan en angriber få fat i ticket'en og derefter udføre offlineangreb (f.eks. brute force eller kryptanalyse) for at gendanne servicekontoens legitimationsoplysninger eller hemmeligheder i klartekst. I dette tilfælde hævder Wydens kontor, at bruddet udnyttede disse RC4-beskyttede tickets.
  • RC4-spørgsmål: RC4 (Rivest Cipher 4), en stream-chiffer udviklet i slutningen af 1980'erne, har i årtier været kendt for at have sårbarheder – bias i dens keystream og modtagelighed for klartekstgendannelse. Standardiseringsorganer (f.eks. IETF) har forbudt dens brug i sikre kanaler, især TLS, siden midten af 2010'erne på grund af disse fejl. Microsoft inkluderede stadig understøttelse af RC4 i Kerberos som standard, hvilket Wyden siger "unødvendigt eksponerer" kunder, når svage adgangskoder er i brug.
  • Adgangskodestyrke og servicekonti: Senatoren fremhæver også, at Microsoft ikke håndhæver stærke adgangskodepolitikker (f.eks. minimum 14 tegn, tilfældigt genererede adgangskoder) for servicekonti, og at de heller ikke kræver brug af stærkere krypteringskoder (AES-128 eller AES-256) til Kerberos-serviceticketkryptering, når SPN'er er involveret. Disse svage politikker, kombineret med svag standardkryptering, forstærker risikoen for kompromittering af legitimationsoplysninger.
  • Microsoft anbefaler afbødende foranstaltninger: Som svar på Wydens brev har Microsoft offentliggjort en vejledning og meddelt, at de planlægger at udfase brugen af RC4. De beskrev også trin som brug af Group Managed Service Accounts (gMSA) eller Delegated Managed Service Accounts (dMSA), revision af konti med SPN'er, opdatering af ticketkrypteringsalgoritmer og indstilling af stærke, tilfældigt genererede adgangskoder til privilegerede konti. Microsoft oplyste endvidere, at nye Active Directory-domæner, der bruger Windows Server 2025, som standard vil have RC4 deaktiveret fra 1. kvartal af 2026.

    • Regulerings- og politiske påstande

    • Senator Wydens kritik går ud over et enkeltstående brud. I sit fire sider lange brev til FTC-formand Andrew Ferguson fremstiller han Microsoft som havende et systemisk problem: en "kultur af uagtsom cybersikkerhed" forstærket af deres nærmest monopol på virksomhedsoperativsystemer. Wyden bruger skarpt metaforisk sprog og kalder Microsoft for "en brandstifter, der sælger brandbekæmpelsestjenester til deres ofre".
    • Brevet hævder, at Microsofts standardkonfigurationer (dvs. aktivering af ældre, usikker kryptering som standard, lempelige adgangskodepolitikker) over tid har svækket den grundlæggende beskyttelse på tværs af mange organisationer – især dem inden for sundhedsvæsenet og kritisk infrastruktur. Antydningen er, at uagtsomhed i standarder og konfiguration ikke kun er et IT-problem, men et nationalt sikkerhedsproblem.

    Microsofts svar

    • Anerkendelse af, at RC4 er forældet , og at Microsoft fraråder brugen af den "i den måde, vi udvikler vores software og i vores dokumentation til kunderne". Virksomheden hævder, at mindre end 0,1% af dens trafik stadig bruger RC4. Microsoft udtrykker dog også bekymring for, at øjeblikkelig fuldstændig deaktivering af RC4 kan forårsage kompatibilitetsproblemer med eksisterende miljøer.
  • Microsoft har forpligtet sig til gradvist at eliminere RC4-understøttelse, samtidig med at de fortsat vil give stærke advarsler og vejledning til kunderne. Derudover bemærker Microsoft, at nye AD-domæner i Windows Server 2025 som standard vil deaktivere RC4-kryptering.

    • Vurdering af sikkerhedsrisiko

    • Angrebsflade og kaskaderende konsekvenser: Når softwareleverandører tillader svag kryptering som standard eller svage adgangskodepolitikker, giver de angribere et "nemt valg". Selv systemadministratorer, der er sikkerhedsbevidste, kan arve konfigurationer, der tillader RC4 eller tillader svage legitimationsoplysninger, især i miljøer, hvor kontinuitet og ældre kompatibilitet er højt værdsat.
    • Sårbarhedsudnyttelser: Kerberoasting-angreb er ikke spekulative; de er kendte, dokumenterede og er blevet brugt med succes i flere brudhændelser. Når servicekontooplysninger er kompromitteret, kan angribere bevæge sig sidelæns, eskalere privilegier og få adgang til følsomme aktiver. I sundhedsvæsenet kan det omfatte personlige sundhedsdata, medicinsk udstyr til IoT og kritisk infrastruktur.
    • Reguleringsmæssige og tillidsmæssige konsekvenser: Da Microsoft er dybt forankret i mange kritiske infrastruktur- og virksomhedsmiljøer, flytter fejl i konfigurationen af sikkerhed som standard automatisk forsvarsbyrden til organisationer, der muligvis mangler ekspertise, ressourcer eller synlighed til at opdage sådanne svagheder. Omdømmeskaden og ansvarsrisikoen er betydelig.

    Reguleringsmæssige implikationer

    • Senator Wydens påstand rejser vigtige spørgsmål om produktansvar , standard sikkerhedsindstillinger og leverandøransvar . I hvilken grad bør softwareleverandører holdes ansvarlige for usikre standardindstillinger?
    • Reguleringsværktøjer som FTC's beføjelse til at undersøge "urimelige eller vildledende handlinger eller praksisser" kan anvendes på forsømmelse af softwaresikkerhed. Hvis Microsoft findes uagtsomt, kan dette skabe præcedens for, hvordan standardkonfigurationer, krypteringsstandarder og adgangskodekrav reguleres i udbredt software.
    • Der er også et bredere normativt problem: sikker-som-standard vs. sikker-som-valg . Wydens holdning antyder, at standardindstillinger bør være på den sikre side, med højere adgangskodestyrke, udfasning af svage kryptografiske algoritmer og indbyggede sikre konfigurationer – ikke som valgfrie til/fra-knapper.
  • Senator Wydens brev til FTC fremhæver en sammensmeltning af cybersikkerhed, regulering og virksomheders ansvarlighed. Ascension-bruddet er mere end en enkeltstående hændelse; det tjener som et casestudie i, hvordan udbredte softwarestandarder, svage krypteringsstandarder og ældre kompatibilitet kan kombineres for at udløse storstilede angreb på kritisk infrastruktur.

    • Senator Wydens brev til FTC fremhæver en sammensmeltning af cybersikkerhed, regulering og virksomheders ansvarlighed. Ascension-bruddet er mere end en enkeltstående hændelse; det tjener som et casestudie i, hvordan udbredte softwarestandarder, svage krypteringsstandarder og ældre kompatibilitet kan kombineres for at udløse storstilede angreb på kritisk infrastruktur.

    I takt med at Microsoft begynder at udfase usikre krypteringer og offentliggøre vejledninger, er det centrale spørgsmål stadig, om reguleringsmekanismer vil kræve hurtigere ændringer, håndhæve bedre standarder og holde leverandører ansvarlige for at muliggøre risici. Denne sag fortjener nøje undersøgelse – ikke kun fra sikkerhedsforskere, men også fra regulatorer, virksomhedskunder og offentligheden generelt.

    Indlæser...