Senaator Wyden lükkab FTC uurimise Microsofti lunavara haavatavuste osas edasi

Aastaks Sandos aastal Arvuti turvalisus

Tõlgi:

USA senaator Ron Wyden kutsus ametlikult föderaalset kaubanduskomisjoni (FTC) üles uurima Microsofti tegevust seoses tema sõnul „raske küberturvalisuse hooletusega“ pärast lunavararünnakut tervishoiuteenuse osutaja Ascension vastu. Senaatori mure keskendub sellele, kuidas Microsofti vaikeseaded avasid väidetavalt kriitilised infrastruktuurivõrgud rünnakutele.

Sisukord

Päästik: Ülestõusmise rikkumine ja tehnilised haavatavused

Juhtumi ülevaade: Eelmisel aastal tabas suurt tervishoiusüsteemi Ascension lunavararünnaku, mille viis läbi rühmitus Black Basta , mõjutades ligi 5,6 miljonit inimest . Rikkumine hõlmas andmevargust ja elektrooniliste terviseandmete häireid.
Esialgne vektor: Ascensioni heaks töötav alltöövõtja klõpsas Microsofti Bingi otsingumootori kaudu avastatud pahatahtlikul lingil. See klõps vallandas ahelreaktsioonid, mis võimaldasid ründajatel ära kasutada Microsofti tarkvara ebaturvalisi vaikeväärtusi.
Tarkvara vaikesätete nõrkus: Senaatori kirja kohaselt sisaldab Microsofti tarkvara ohtlikult ebaturvalisi vaikesätteid. Üks peamine probleem on RC4 krüptimise tugi Kerberose autentimisprotokollis. RC4 on krüptograafiliste uuringute kohaselt ebaturvaliseks peetav pärandšiffer. Kuigi paljudes tänapäevastes süsteemides on see aegunud, jäi see Microsofti puhul vaikimisi lubatuks. See võimaldas ründajatel kasutada Kerberoastingu nime all tuntud tehnikat, et Active Directoryst teenusekonto mandaate hankida.

Tehnilised üksikasjad: Kerberoasting, vaikešifrid ja ärakasutatavad nõrkused

Kerberosteerimise selgitus: Active Directory keskkonnas taotlevad teenusekontod, millel on teenuse põhinimed (SPN-id), Kerberose pileteid. Kui need piletid on krüpteeritud nõrkade šifrite, näiteks RC4 abil, saab ründaja pileti hankida ja seejärel teha võrguühenduseta rünnakuid (nt jõuvõte või krüptoanalüüs), et taastada teenusekonto lihtteksti volikirjad või saladused. Wydeni büroo väidab, et antud juhul kasutati rikkumises neid RC4-ga kaitstud pileteid.

RC4 oluline: RC4 (Rivest Cipher 4), 1980. aastate lõpus välja töötatud voogšiffer, on aastakümneid tuntud oma haavatavuste poolest – võtmevoo kallutatus ja lihtteksti taastamise vastuvõtlikkus. Standardiorganisatsioonid (nt IETF) on nende puuduste tõttu alates 2010. aastate keskpaigast keelanud selle kasutamise turvalistes kanalites, eriti TLS-is. Microsoft lisas Kerberosesse vaikimisi endiselt RC4 toe, mis Wydeni sõnul „seab kliendid asjatult ohtu, kui kasutatakse nõrku paroole“.

Parooli tugevus ja teenusekontod: Senaator rõhutab ka seda, et Microsoft ei rakenda teenusekontodele tugevaid paroolipoliitikaid (nt minimaalselt 14 tähemärki, juhuslikult genereeritud paroolid) ega nõua Kerberose teenusepiletite krüptimiseks tugevamate krüpteerimisšifrite (AES-128 või AES-256) kasutamist, kui tegemist on SPN-idega. Need nõrgad poliitikad koos nõrga vaikimisi krüptimisega suurendavad volituste ohtu.

Microsofti soovitused leevenduseks: Vastuseks Wydeni kirjale avaldas Microsoft juhised ja teatas, et kavatseb RC4 kasutamise järk-järgult lõpetada. Samuti toodi välja sammud, nagu grupi hallatavate teenusekontode (gMSA) või delegeeritud hallatavate teenusekontode (dMSA) kasutamine, SPN-idega kontode auditeerimine, piletite krüpteerimisalgoritmide värskendamine ja privilegeeritud kontodele tugevate, juhuslikult genereeritud paroolide määramine. Microsoft avalikustas lisaks, et uutel Active Directory domeenidel, mis kasutavad Windows Server 2025, keelatakse RC4 alates 2026. aasta esimesest kvartalist vaikimisi.

Regulatiivsed ja poliitilised väited

Senaator Wydeni kriitika ulatub kaugemale ühest rikkumisest. Oma neljaleheküljelises kirjas FTC esimehele Andrew Fergusonile kirjeldab ta Microsofti kui süsteemset probleemi: „hooletu küberturvalisuse kultuuri“, mida süvendab ettevõtte peaaegu monopol ettevõtte operatsioonisüsteemide üle. Wyden kasutab teravat metafoorset keelt, nimetades Microsofti „süütajaks, kes müüb oma ohvritele tulekustutusteenuseid“.
Kirjas väidetakse, et Microsofti vaikesätete (st pärandi lubamine, vaikimisi ebaturvaline krüptimine, leebe paroolipoliitika) kasutamine on aja jooksul nõrgestanud paljude organisatsioonide – eriti tervishoiu ja kriitilise infrastruktuuri valdkonna organisatsioonide – baaskaitset. Väidetakse, et hooletus vaikesätete ja konfiguratsiooni osas ei ole ainult IT-probleem, vaid ka riikliku julgeoleku probleem.

Microsofti vastus

Tunnistatakse, et RC4 on iganenud ja et Microsoft ei soovita selle kasutamist "oma tarkvara arendamisel ja klientidele suunatud dokumentatsioonis". Ettevõtte väitel kasutab RC4-d endiselt vähem kui 0,1% liiklusest. Microsoft väljendab aga ka muret, et RC4 kohene täielik keelamine võib põhjustada ühilduvusprobleeme olemasolevate keskkondadega.

Microsoft on otsustanud RC4 toe järk-järgult kaotada, pakkudes samal ajal klientidele jätkuvalt tugevaid hoiatusi ja juhiseid. Lisaks märgib Microsoft, et Windows Server 2025 uued AD-domeenid keelavad RC4 krüptimise vaikimisi.

Turvariskide hindamine

Rünnakupind ja kaskaadsed tagajärjed: Kui tarkvaratootjad lubavad vaikimisi nõrka krüptimist või nõrku paroolipoliitikaid, pakuvad nad ründajatele „lihtsat valikut“. Isegi turvateadlikud süsteemiadministraatorid võivad pärida konfiguratsioone, mis lubavad RC4-d või nõrku mandaate, eriti keskkondades, kus järjepidevust ja pärandühilduvust hinnatakse kõrgelt.
Haavatavuse ärakasutamine: Kerberoasting-rünnakud ei ole spekulatiivsed; need on teada, dokumenteeritud ja neid on edukalt kasutatud mitmetes turvaintsidentides. Kui teenusekonto volitused on ohtu sattunud, saavad ründajad liikuda edasi, laiendada õigusi ja pääseda juurde tundlikele varadele. Tervishoiuasutustes võivad see hõlmata isikuandmeid, asjade interneti meditsiiniseadmeid ja kriitilist infrastruktuuri.
Regulatiivsed ja usalduslikud tagajärjed: Kuna Microsoft on sügavalt integreeritud paljudesse kriitilistesse infrastruktuuridesse ja ettevõtluskeskkondadesse, nihutavad turvalisuse vaikimisi konfigureerimise ebaõnnestumised kaitsekoormuse automaatselt organisatsioonidele, kellel võib puududa selliste nõrkuste avastamiseks vajalik asjatundlikkus, ressursid või nähtavus. Mainekahju ja vastutusrisk on märkimisväärsed.

Regulatiivsed tagajärjed

Senaator Wydeni väide tõstatab olulisi küsimusi tootevastutuse , vaikesätete ja müüja vastutuse kohta. Mil määral peaksid tarkvaramüüjad vastutama ebaturvaliste vaikesätete eest?
Tarkvara turvalisuse eiramise korral võidakse rakendada regulatiivseid vahendeid , näiteks FTC volitusi uurida „ebaausaid või petlikke tegusid või tavasid”. Kui Microsoft leitakse olevat hooletu, võib see luua pretsedendi selle kohta, kuidas vaikimisi konfiguratsioone, krüpteerimisstandardeid ja paroolinõudeid laialdaselt kasutatavas tarkvaras reguleeritakse.
Samuti on laiem normatiivne küsimus: vaikimisi turvaline vs. valikuline turvaline . Wydeni seisukoht viitab sellele, et vaikesätted peaksid olema turvalisuse poolel, pakkudes suuremat parooli tugevust, nõrkade krüptograafiliste algoritmide aegumist ja turvalisi konfiguratsioone sisse ehitatud, mitte valikuliste lülititena.

Senaator Wydeni kiri FTC-le toob esile küberturvalisuse, regulatsioonide ja ettevõtete vastutuse seose. Ascensioni intsident on enamat kui üksikjuhtum; see toimib juhtumiuuringuna selle kohta, kuidas laialdaselt kasutatavad tarkvara vaikesätted, nõrgad krüpteerimisstandardid ja vananenud ühilduvus võivad koos esile kutsuda ulatuslikke rünnakuid kriitilise infrastruktuuri vastu.

Kuna Microsoft hakkab ebaturvalisi šifreid järk-järgult kaotama ja juhiseid avaldama, jääb keskseks küsimuseks, kas regulatiivsed mehhanismid nõuavad kiiremaid muutusi, jõustavad paremaid vaikeväärtusi ja hoiavad müüjaid vastutavana riski võimaldamise eest. See küsimus väärib hoolikat uurimist – mitte ainult turvauurijate, vaid ka regulaatorite, äriklientide ja laiema avalikkuse poolt.

EnigmaSofti makseprotsessor Digital River GmbH pankrotiavalduse esitamine ei mõjuta SpyHunteri klientide pahavaravastast kaitset

Otsing

Vaheta piirkonda