Εκπτωτική προσφορά πολλαπλών αδειών
Ασφάλεια Υπολογιστών Ο Γερουσιαστής Γουάιντεν πιέζει την FTC για έρευνα κατά...

Ο Γερουσιαστής Γουάιντεν πιέζει την FTC για έρευνα κατά της Microsoft σχετικά με ευπάθειες ransomware

Μέχρι το Sandos το Ασφάλεια Υπολογιστών
Μετάφραση σε:

Ο Αμερικανός γερουσιαστής Ρον Γουάιντεν κάλεσε επίσημα την Ομοσπονδιακή Επιτροπή Εμπορίου (FTC) να διερευνήσει τη Microsoft για αυτό που περιγράφει ως «σοβαρή αμέλεια στον κυβερνοχώρο» μετά από μια επίθεση ransomware στον πάροχο υγειονομικής περίθαλψης Ascension. Η ανησυχία του γερουσιαστή επικεντρώνεται στο πώς οι προεπιλεγμένες διαμορφώσεις λογισμικού της Microsoft φέρονται να εξέθεσαν κρίσιμα δίκτυα υποδομών σε επιθέσεις.

Η Ενεργοποίηση: Η Παραβίαση της Ανάληψης και οι Τεχνικές Ευπάθειες

  • Επισκόπηση Περιστατικού: Πέρυσι, το Ascension, ένα σημαντικό σύστημα υγειονομικής περίθαλψης, επλήγη από μια επίθεση ransomware που πραγματοποιήθηκε από την ομάδα Black Basta , η οποία επηρέασε σχεδόν 5,6 εκατομμύρια άτομα . Η παραβίαση αφορούσε κλοπή δεδομένων, καθώς και διακοπή των ηλεκτρονικών αρχείων υγείας.
  • Αρχικό διάνυσμα: Ένας εργολάβος που εργαζόταν για την Ascension έκανε κλικ σε έναν κακόβουλο σύνδεσμο που ανακαλύφθηκε μέσω της μηχανής αναζήτησης Bing της Microsoft. Αυτό το κλικ πυροδότησε αλυσιδωτές αντιδράσεις που επέτρεψαν στους εισβολείς να εκμεταλλευτούν μη ασφαλείς προεπιλογές στο λογισμικό της Microsoft.
  • Αδυναμία Προεπιλεγμένου Λογισμικού: Σύμφωνα με την επιστολή του Γερουσιαστή, το λογισμικό της Microsoft περιλαμβάνει επικίνδυνα μη ασφαλείς προεπιλεγμένες ρυθμίσεις. Ένα βασικό ζήτημα είναι η υποστήριξη για κρυπτογράφηση RC4 εντός του πρωτοκόλλου ελέγχου ταυτότητας Kerberos. Το RC4 είναι ένα παλαιότερο κρυπτογράφημα που θεωρείται μη ασφαλές από την κρυπτογραφική έρευνα. Αν και έχει καταργηθεί σε πολλά σύγχρονα συστήματα, στην περίπτωση της Microsoft παρέμεινε ενεργοποιημένο από προεπιλογή. Αυτό επέτρεψε στους εισβολείς να χρησιμοποιήσουν μια τεχνική γνωστή ως Kerberoasting για να εξαγάγουν διαπιστευτήρια λογαριασμού υπηρεσίας από την Active Directory.

Τεχνικές Προδιαγραφές: Kerberoasting, Προεπιλεγμένοι Κρυπτογράφοι και Εκμεταλλεύσιμες Αδυναμίες

  • Επεξήγηση του Kerberoasting: Σε ένα περιβάλλον Active Directory, οι λογαριασμοί υπηρεσίας με ονόματα κύριων υπηρεσιών (SPN) ζητούν εισιτήρια Kerberos. Εάν αυτά τα εισιτήρια είναι κρυπτογραφημένα με χρήση αδύναμων κρυπτογραφημάτων όπως το RC4, ένας εισβολέας μπορεί να αποκτήσει το εισιτήριο και στη συνέχεια να εκτελέσει επιθέσεις εκτός σύνδεσης (π.χ., ωμή βία ή κρυπτανάλυση) για να ανακτήσει τα διαπιστευτήρια ή τα μυστικά του λογαριασμού υπηρεσίας σε μορφή απλού κειμένου. Σε αυτήν την περίπτωση, το γραφείο του Wyden ισχυρίζεται ότι η παραβίαση χρησιμοποίησε αυτά τα εισιτήρια που προστατεύονται από RC4.
  • Το RC4 έχει σημασία: Το RC4 (Rivest Cipher 4), ένα κρυπτογράφημα ροής που αναπτύχθηκε στα τέλη της δεκαετίας του 1980, είναι γνωστό εδώ και δεκαετίες για τα τρωτά σημεία του—προκαταλήψεις στη ροή κλειδιών του και ευαισθησία στην ανάκτηση απλού κειμένου. Οι οργανισμοί τυποποίησης (π.χ., IETF) έχουν απαγορεύσει τη χρήση του σε ασφαλή κανάλια, ειδικά στο TLS, από τα μέσα της δεκαετίας του 2010 λόγω αυτών των ελαττωμάτων. Η Microsoft εξακολουθούσε να περιλαμβάνει υποστήριξη για το RC4 στο Kerberos από προεπιλογή, κάτι που, όπως δηλώνει ο Wyden, «εκθέτει άσκοπα» τους πελάτες όταν χρησιμοποιούνται αδύναμοι κωδικοί πρόσβασης.
  • Ισχύς Κωδικού Πρόσβασης & Λογαριασμοί Υπηρεσίας: Ο γερουσιαστής υπογραμμίζει επίσης ότι η Microsoft δεν επιβάλλει ισχυρές πολιτικές κωδικών πρόσβασης (π.χ., ελάχιστο όριο 14 χαρακτήρων, τυχαία δημιουργημένοι κωδικοί πρόσβασης) για λογαριασμούς υπηρεσίας, ούτε απαιτεί τη χρήση ισχυρότερων κρυπτογραφικών κωδικών πρόσβασης (AES-128 ή AES-256) για την κρυπτογράφηση δελτίων υπηρεσίας Kerberos όταν εμπλέκονται SPN. Αυτές οι αδύναμες πολιτικές, σε συνδυασμό με την αδύναμη προεπιλεγμένη κρυπτογράφηση, μεγεθύνουν τον κίνδυνο παραβίασης διαπιστευτηρίων.
  • Μετριασμοί που προτείνει η Microsoft: Σε απάντηση στην επιστολή του Wyden, η Microsoft δημοσίευσε οδηγίες και δήλωσε ότι σχεδιάζει να καταργήσει σταδιακά τη χρήση του RC4. Περιέγραψε επίσης βήματα όπως η χρήση Λογαριασμών Διαχειριζόμενων Υπηρεσιών Ομάδας (gMSA) ή Λογαριασμών Διαχειριζόμενων Υπηρεσιών με Ανάθεση (dMSA), ο έλεγχος λογαριασμών με SPN, η ενημέρωση αλγορίθμων κρυπτογράφησης εισιτηρίων και ο ορισμός ισχυρών, τυχαία δημιουργημένων κωδικών πρόσβασης για προνομιακούς λογαριασμούς. Η Microsoft αποκάλυψε περαιτέρω ότι οι νέοι τομείς Active Directory που χρησιμοποιούν Windows Server 2025 θα έχουν το RC4 απενεργοποιημένο από προεπιλογή από το πρώτο τρίμηνο του 2026.

    • Ισχυρισμοί περί κανονισμών και πολιτικής

    • Η κριτική του γερουσιαστή Wyden υπερβαίνει μια μεμονωμένη παραβίαση. Στην τετρασέλιδη επιστολή του προς τον πρόεδρο της FTC, Andrew Ferguson, παρουσιάζει τη Microsoft ως μια συστημική ομάδα που αντιμετωπίζει ένα συστημικό πρόβλημα: μια «κουλτούρα αμελούς κυβερνοασφάλειας» που ενισχύεται από το σχεδόν μονοπώλιο της στα λειτουργικά συστήματα επιχειρήσεων. Ο Wyden χρησιμοποιεί αιχμηρή μεταφορική γλώσσα, αποκαλώντας τη Microsoft παρόμοια με «εμπρηστή που πουλάει υπηρεσίες πυρόσβεσης στα θύματά του».
    • Η επιστολή υποστηρίζει ότι οι προεπιλεγμένες ρυθμίσεις παραμέτρων της Microsoft (δηλαδή, η ενεργοποίηση παλαιού τύπου, η μη ασφαλής κρυπτογράφηση από προεπιλογή, οι πολιτικές επιεικούς κωδικού πρόσβασης) έχουν με την πάροδο του χρόνου αποδυναμώσει τις βασικές προστασίες σε πολλούς οργανισμούς - ιδιαίτερα σε εκείνους στον τομέα της υγειονομικής περίθαλψης και των κρίσιμων υποδομών. Η υπόθεση είναι ότι η αμέλεια στις προεπιλογές και τη ρύθμιση παραμέτρων δεν είναι απλώς ζήτημα IT, αλλά και ζήτημα εθνικής ασφάλειας.

    Απάντηση της Microsoft

    • Αναγνώριση ότι το RC4 είναι απαρχαιωμένο και ότι η Microsoft αποθαρρύνει τη χρήση του «στον τρόπο που σχεδιάζουμε το λογισμικό μας και στην τεκμηρίωσή μας προς τους πελάτες». Η εταιρεία ισχυρίζεται ότι λιγότερο από το 0,1% της κυκλοφορίας της εξακολουθεί να χρησιμοποιεί το RC4. Ωστόσο, η Microsoft εκφράζει επίσης την ανησυχία της ότι η πλήρης απενεργοποίηση του RC4 θα μπορούσε να προκαλέσει προβλήματα συμβατότητας με υπάρχοντα περιβάλλοντα.
  • Η Microsoft έχει δεσμευτεί να καταργήσει σταδιακά την υποστήριξη RC4, συνεχίζοντας παράλληλα να παρέχει ισχυρές προειδοποιήσεις και οδηγίες στους πελάτες. Επιπλέον, η Microsoft σημειώνει ότι οι νέοι τομείς AD στον Windows Server 2025 θα απενεργοποιούν, από προεπιλογή, την κρυπτογράφηση RC4.

    • Αξιολόγηση Κινδύνου Ασφάλειας

    • Επιφάνεια επίθεσης και αλυσιδωτές συνέπειες: Όταν οι προμηθευτές λογισμικού επιτρέπουν αδύναμη κρυπτογράφηση από προεπιλογή ή πολιτικές αδύναμων κωδικών πρόσβασης, παρέχουν μια «εύκολη επιλογή» στους εισβολείς. Ακόμη και οι διαχειριστές συστημάτων που είναι ενήμεροι για την ασφάλεια ενδέχεται να κληρονομήσουν διαμορφώσεις που επιτρέπουν το RC4 ή να επιτρέψουν αδύναμα διαπιστευτήρια, ιδιαίτερα σε περιβάλλοντα όπου η συνέχεια και η συμβατότητα παλαιού τύπου έχουν μεγάλη σημασία.
    • Εκμεταλλεύσεις ευπάθειας: Οι επιθέσεις Kerberoasting δεν είναι εικασίες. Είναι γνωστές, τεκμηριωμένες και έχουν χρησιμοποιηθεί με επιτυχία σε πολλαπλά περιστατικά παραβίασης. Μόλις παραβιαστούν τα διαπιστευτήρια του λογαριασμού υπηρεσίας, οι εισβολείς μπορούν να κινηθούν πλευρικά, να κλιμακώσουν τα προνόμια και να αποκτήσουν πρόσβαση σε ευαίσθητα περιουσιακά στοιχεία. Σε περιβάλλοντα υγειονομικής περίθαλψης, αυτό μπορεί να περιλαμβάνει προσωπικά δεδομένα υγείας, ιατρικές συσκευές IoT και κρίσιμες υποδομές.
    • Επιπτώσεις σε ρυθμιστικά θέματα και θέματα εμπιστοσύνης: Καθώς η Microsoft είναι βαθιά ενσωματωμένη σε πολλά κρίσιμα περιβάλλοντα υποδομών και επιχειρήσεων, οι αποτυχίες στη διαμόρφωση της ασφάλειας από προεπιλογή μετατοπίζουν αυτόματα το βάρος της άμυνας σε οργανισμούς που ενδέχεται να μην έχουν εμπειρία, πόρους ή ορατότητα για να εντοπίσουν τέτοιες αδυναμίες. Η ζημία στη φήμη και ο κίνδυνος ευθύνης είναι σημαντικοί.

    Κανονιστικές επιπτώσεις

    • Ο ισχυρισμός του γερουσιαστή Wyden εγείρει σημαντικά ερωτήματα σχετικά με την ευθύνη του προϊόντος , τις προεπιλεγμένες ασφαλείς ρυθμίσεις και την ευθύνη των προμηθευτών . Σε ποιο βαθμό θα πρέπει οι προμηθευτές λογισμικού να θεωρούνται υπεύθυνοι για μη ασφαλείς προεπιλεγμένες ρυθμίσεις;
    • Ρυθμιστικά εργαλεία , όπως η εξουσία της FTC να διερευνά «άδικες ή παραπλανητικές πράξεις ή πρακτικές», μπορούν να εφαρμοστούν στην παραμέληση της ασφάλειας λογισμικού. Εάν η Microsoft κριθεί αμελής, αυτό θα μπορούσε να δημιουργήσει προηγούμενο για τον τρόπο με τον οποίο ρυθμίζονται οι προεπιλεγμένες διαμορφώσεις, τα πρότυπα κρυπτογράφησης και οι απαιτήσεις κωδικού πρόσβασης σε ευρέως χρησιμοποιούμενο λογισμικό.
    • Υπάρχει επίσης ένα ευρύτερο κανονιστικό ζήτημα: η ασφάλεια από προεπιλογή έναντι της ασφάλειας από επιλογή . Η θέση του Wyden υπονοεί ότι οι προεπιλογές θα πρέπει να είναι προς την πλευρά της ασφάλειας, με υψηλότερη ισχύ κωδικού πρόσβασης, κατάργηση αδύναμων κρυπτογραφικών αλγορίθμων και ασφαλείς διαμορφώσεις που ενσωματώνονται - όχι ως προαιρετικά κουμπιά εναλλαγής.
  • Η επιστολή του γερουσιαστή Wyden προς την FTC υπογραμμίζει μια συμβολή κυβερνοασφάλειας, ρύθμισης και εταιρικής λογοδοσίας. Η παραβίαση του Ascension είναι κάτι περισσότερο από ένα μεμονωμένο περιστατικό. χρησιμεύει ως μελέτη περίπτωσης για το πώς οι ευρέως χρησιμοποιούμενες προεπιλογές λογισμικού, τα αδύναμα πρότυπα κρυπτογράφησης και η συμβατότητα παλαιού τύπου μπορούν να συνδυαστούν για να προκαλέσουν επιθέσεις μεγάλης κλίμακας σε κρίσιμες υποδομές.

    • Η επιστολή του γερουσιαστή Wyden προς την FTC υπογραμμίζει μια συμβολή κυβερνοασφάλειας, ρύθμισης και εταιρικής λογοδοσίας. Η παραβίαση του Ascension είναι κάτι περισσότερο από ένα μεμονωμένο περιστατικό. χρησιμεύει ως μελέτη περίπτωσης για το πώς οι ευρέως χρησιμοποιούμενες προεπιλογές λογισμικού, τα αδύναμα πρότυπα κρυπτογράφησης και η συμβατότητα παλαιού τύπου μπορούν να συνδυαστούν για να προκαλέσουν επιθέσεις μεγάλης κλίμακας σε κρίσιμες υποδομές.

    Καθώς η Microsoft αρχίζει να καταργεί σταδιακά τα μη ασφαλή κρυπτογραφήματα και να δημοσιεύει οδηγίες, το κεντρικό ερώτημα παραμένει εάν οι ρυθμιστικοί μηχανισμοί θα απαιτήσουν ταχύτερες αλλαγές, θα επιβάλουν καλύτερες προεπιλογές και θα θεωρήσουν τους προμηθευτές υπεύθυνους για την ενεργοποίηση του κινδύνου. Αυτό το ζήτημα χρήζει στενού ελέγχου—όχι μόνο από ερευνητές ασφαλείας, αλλά και από ρυθμιστικές αρχές, εταιρικούς πελάτες και το ευρύ κοινό.

    Φόρτωση...