قیمت چند مجوز تخفیف
امنیت کامپیوتر سناتور وایدن تحقیقات FTC در مورد آسیب‌پذیری‌های باج‌افزار...

سناتور وایدن تحقیقات FTC در مورد آسیب‌پذیری‌های باج‌افزار مایکروسافت را تحت فشار قرار داد

تا Sandos در امنیت کامپیوتر
ترجمه به:

سناتور آمریکایی ران وایدن رسماً از کمیسیون تجارت فدرال (FTC) خواسته است تا پس از حمله باج‌افزاری به شرکت ارائه‌دهنده خدمات درمانی Ascension، مایکروسافت را به دلیل آنچه که او «سهل‌انگاری فاحش در امنیت سایبری» توصیف می‌کند، مورد بررسی قرار دهد. نگرانی سناتور بر این متمرکز است که چگونه پیکربندی‌های پیش‌فرض نرم‌افزار مایکروسافت، ظاهراً شبکه‌های زیرساخت‌های حیاتی را در معرض حمله قرار می‌دهد.

محرک: نقض امنیتی Ascension و آسیب‌پذیری‌های فنی

  • مرور کلی حادثه: سال گذشته، Ascension، یک سیستم مراقبت‌های بهداشتی بزرگ، مورد حمله باج‌افزاری قرار گرفت که توسط گروهی به نام Black Basta انجام شد و تقریباً ۵.۶ میلیون نفر را تحت تأثیر قرار داد. این نقض شامل سرقت داده‌ها و همچنین اختلال در پرونده‌های الکترونیکی سلامت بود.
  • بردار اولیه: یک پیمانکار که برای Ascension کار می‌کرد، روی یک لینک مخرب که از طریق موتور جستجوی بینگ مایکروسافت کشف شده بود، کلیک کرد. این کلیک باعث ایجاد واکنش‌های زنجیره‌ای شد که به مهاجمان اجازه داد تا از پیش‌فرض‌های ناامن در نرم‌افزار مایکروسافت سوءاستفاده کنند.
  • ضعف نرم‌افزار پیش‌فرض: طبق نامه سناتور، نرم‌افزار مایکروسافت شامل تنظیمات پیش‌فرض به طرز خطرناکی ناامن است. یکی از مشکلات کلیدی، پشتیبانی از رمزگذاری RC4 در پروتکل احراز هویت Kerberos است. RC4 یک رمزنگاری قدیمی است که توسط تحقیقات رمزنگاری ناامن تلقی می‌شود. اگرچه در بسیاری از سیستم‌های مدرن منسوخ شده است، اما در مورد مایکروسافت به طور پیش‌فرض فعال باقی مانده است. این امر به مهاجمان اجازه می‌دهد تا از تکنیکی به نام Kerberoasting برای استخراج اعتبارنامه‌های حساب سرویس از Active Directory استفاده کنند.

مشخصات فنی: کربروستینگ، رمزهای پیش‌فرض و نقاط ضعف قابل بهره‌برداری

  • توضیح Kerberoasting: در یک محیط Active Directory، حساب‌های سرویس با نام‌های اصلی سرویس (SPN) درخواست بلیط‌های Kerberos را می‌دهند. اگر این بلیط‌ها با استفاده از رمزهای ضعیفی مانند RC4 رمزگذاری شده باشند، یک مهاجم می‌تواند بلیط را به دست آورد، سپس حملات آفلاین (مثلاً brute force یا cryptanalysis) را برای بازیابی اعتبارنامه‌ها یا اسرار متن ساده حساب سرویس انجام دهد. در این مورد، دفتر Wyden ادعا می‌کند که این نقض از این بلیط‌های محافظت‌شده با RC4 استفاده کرده است.
  • اهمیت RC4: RC4 (Rivest Cipher 4)، یک رمز جریانی که در اواخر دهه 1980 توسعه یافت، دهه‌هاست که به داشتن آسیب‌پذیری‌هایی - سوگیری در جریان کلید و حساسیت به بازیابی متن ساده - شناخته شده است. نهادهای استاندارد (به عنوان مثال، IETF) از اواسط دهه 2010 به دلیل این نقص‌ها، استفاده از آن را در کانال‌های امن، به ویژه TLS، ممنوع کرده‌اند. مایکروسافت همچنان به طور پیش‌فرض از RC4 در Kerberos پشتیبانی می‌کند، که به گفته وایدن، در صورت استفاده از رمزهای عبور ضعیف، مشتریان را "بی‌جهت در معرض خطر" قرار می‌دهد.
  • قدرت رمز عبور و حساب‌های سرویس: سناتور همچنین تأکید می‌کند که مایکروسافت سیاست‌های رمز عبور قوی (مثلاً حداقل ۱۴ کاراکتر، رمزهای عبور تولید شده به صورت تصادفی) را برای حساب‌های سرویس اعمال نمی‌کند و همچنین استفاده از رمزهای رمزگذاری قوی‌تر (AES-128 یا AES-256) را برای رمزگذاری بلیط سرویس Kerberos در صورت وجود SPN الزامی نمی‌داند. این سیاست‌های ضعیف، همراه با رمزگذاری پیش‌فرض ضعیف، خطر به خطر افتادن اعتبارنامه را افزایش می‌دهد.
  • راهکارهای کاهش خطر توصیه‌شده توسط مایکروسافت: در پاسخ به نامه وایدن، مایکروسافت راهنمایی منتشر کرده و اعلام کرده است که قصد دارد استفاده از RC4 را به تدریج کنار بگذارد. همچنین مراحلی مانند استفاده از حساب‌های خدمات مدیریت‌شده گروهی (gMSA) یا حساب‌های خدمات مدیریت‌شده تفویض‌شده (dMSA)، حسابرسی حساب‌ها با SPNها، به‌روزرسانی الگوریتم‌های رمزگذاری تیکت و تنظیم رمزهای عبور قوی و تصادفی برای حساب‌های ممتاز را تشریح کرده است. مایکروسافت همچنین فاش کرد که دامنه‌های جدید اکتیو دایرکتوری که از ویندوز سرور 2025 استفاده می‌کنند، از سه‌ماهه اول سال 2026 به طور پیش‌فرض RC4 را غیرفعال خواهند کرد.

    • ادعاهای مربوط به مقررات و سیاست‌ها

    • انتقاد سناتور وایدن فراتر از یک نقض منفرد است. او در نامه چهار صفحه‌ای خود به اندرو فرگوسن، رئیس FTC، مایکروسافت را دارای یک مشکل سیستمی می‌داند: «فرهنگ سهل‌انگاری در امنیت سایبری» که با انحصار تقریباً کامل آن بر سیستم‌عامل‌های سازمانی تشدید شده است. وایدن از زبان استعاری تندی استفاده می‌کند و مایکروسافت را شبیه «آتش‌افروزی که خدمات آتش‌نشانی را به قربانیان خود می‌فروشد» می‌نامد.
    • در این نامه ادعا شده است که پیکربندی‌های پیش‌فرض مایکروسافت (یعنی فعال کردن نسخه قدیمی، رمزگذاری ناامن به صورت پیش‌فرض، سیاست‌های رمز عبور آسان‌گیرانه) به مرور زمان محافظت‌های اولیه را در بسیاری از سازمان‌ها - به ویژه سازمان‌های فعال در حوزه مراقبت‌های بهداشتی و زیرساخت‌های حیاتی - تضعیف کرده است. پیشنهاد این است که سهل‌انگاری در پیش‌فرض‌ها و پیکربندی‌ها فقط یک مسئله فناوری اطلاعات نیست، بلکه یک نگرانی امنیت ملی است.

    پاسخ مایکروسافت

    • اذعان به اینکه RC4 قدیمی است و مایکروسافت استفاده از آن را «در نحوه مهندسی نرم‌افزار خود و در مستندات خود به مشتریان» توصیه نمی‌کند. این شرکت ادعا می‌کند که کمتر از 0.1٪ از ترافیک آن هنوز از RC4 استفاده می‌کند. با این حال، مایکروسافت همچنین ابراز نگرانی می‌کند که غیرفعال کردن کامل RC4 می‌تواند باعث ایجاد مشکلات سازگاری با محیط‌های موجود شود.
  • مایکروسافت متعهد شده است که به تدریج پشتیبانی از RC4 را حذف کند، در حالی که همچنان هشدارها و راهنمایی‌های جدی را به مشتریان ارائه می‌دهد. علاوه بر این، مایکروسافت خاطرنشان می‌کند که دامنه‌های جدید AD در ویندوز سرور 2025، به طور پیش‌فرض، رمزگذاری RC4 را غیرفعال می‌کنند.

    • ارزیابی ریسک امنیتی

    • سطح حمله و پیامدهای آبشاری: وقتی فروشندگان نرم‌افزار رمزگذاری ضعیف را به طور پیش‌فرض یا سیاست‌های رمز عبور ضعیف را مجاز می‌دانند، «انتخاب آسانی» برای مهاجمان فراهم می‌کنند. حتی مدیران سیستم که از امنیت آگاه هستند، ممکن است پیکربندی‌هایی را به ارث ببرند که RC4 را مجاز می‌دانند یا اعتبارنامه‌های ضعیفی را مجاز می‌دانند، به خصوص در محیط‌هایی که تداوم و سازگاری قدیمی بسیار ارزشمند است.
    • سوءاستفاده از آسیب‌پذیری‌ها: حملات Kerberoasting حدس و گمان نیستند؛ آنها شناخته شده، مستند شده و با موفقیت در چندین حادثه نقض امنیتی مورد استفاده قرار گرفته‌اند. هنگامی که اعتبارنامه‌های حساب کاربری سرویس به خطر می‌افتند، مهاجمان می‌توانند به صورت جانبی حرکت کنند، امتیازات را افزایش دهند و به دارایی‌های حساس دسترسی پیدا کنند. در محیط‌های مراقبت‌های بهداشتی، این می‌تواند شامل داده‌های سلامت شخصی، دستگاه‌های پزشکی IoT و زیرساخت‌های حیاتی باشد.
    • پیامدهای نظارتی و اعتماد: از آنجایی که مایکروسافت عمیقاً در بسیاری از زیرساخت‌های حیاتی و محیط‌های سازمانی ریشه دوانده است، شکست در پیکربندی امنیتی پیش‌فرض، به طور خودکار بار دفاع را به سازمان‌هایی منتقل می‌کند که ممکن است فاقد تخصص، منابع یا دید کافی برای تشخیص چنین نقاط ضعفی باشند. آسیب به اعتبار و ریسک مسئولیت قابل توجه است.

    پیامدهای نظارتی

    • ادعای سناتور وایدن سوالات مهمی را در مورد مسئولیت محصول ، تنظیمات پیش‌فرض امن و مسئولیت فروشنده مطرح می‌کند. فروشندگان نرم‌افزار تا چه حد باید در قبال پیش‌فرض‌های ناامن پاسخگو باشند؟
    • ابزارهای نظارتی مانند اختیار FTC برای بررسی «اعمال یا رویه‌های ناعادلانه یا فریبنده» ممکن است در مورد غفلت در امنیت نرم‌افزار اعمال شود. اگر مایکروسافت سهل‌انگار شناخته شود، این می‌تواند سابقه‌ای برای نحوه تنظیم پیکربندی‌های پیش‌فرض، استانداردهای رمزگذاری و الزامات رمز عبور در نرم‌افزارهای پرکاربرد ایجاد کند.
    • همچنین یک مسئله هنجاری گسترده‌تر وجود دارد: ایمن‌سازی پیش‌فرض در مقابل ایمن‌سازی اختیاری . موضع وایدن حاکی از آن است که پیش‌فرض‌ها باید جانب امنیت را رعایت کنند، با قدرت رمز عبور بالاتر، منسوخ شدن الگوریتم‌های رمزنگاری ضعیف و پیکربندی‌های ایمن که در آنها گنجانده شده است - نه به عنوان گزینه‌های اختیاری.
  • نامه سناتور وایدن به کمیسیون تجارت فدرال (FTC) تلاقی امنیت سایبری، مقررات و پاسخگویی شرکت‌ها را برجسته می‌کند. نقض امنیتی Ascension چیزی بیش از یک حادثه واحد است؛ این حادثه به عنوان یک مطالعه موردی در مورد چگونگی ترکیب پیش‌فرض‌های نرم‌افزاری پرکاربرد، استانداردهای رمزگذاری ضعیف و سازگاری قدیمی با یکدیگر و تسریع حملات در مقیاس بزرگ به زیرساخت‌های حیاتی عمل می‌کند.

    • نامه سناتور وایدن به کمیسیون تجارت فدرال (FTC) تلاقی امنیت سایبری، مقررات و پاسخگویی شرکت‌ها را برجسته می‌کند. نقض امنیتی Ascension چیزی بیش از یک حادثه واحد است؛ این حادثه به عنوان یک مطالعه موردی در مورد چگونگی ترکیب پیش‌فرض‌های نرم‌افزاری پرکاربرد، استانداردهای رمزگذاری ضعیف و سازگاری قدیمی با یکدیگر و تسریع حملات در مقیاس بزرگ به زیرساخت‌های حیاتی عمل می‌کند.

    همزمان با اینکه مایکروسافت شروع به حذف تدریجی رمزهای ناامن و انتشار راهنما می‌کند، سوال اصلی همچنان باقی است که آیا سازوکارهای نظارتی خواستار تغییر سریع‌تر، اعمال پیش‌فرض‌های بهتر و مسئول دانستن فروشندگان در قبال ایجاد ریسک خواهند بود یا خیر. این موضوع نیازمند بررسی دقیق است - نه تنها از سوی محققان امنیتی، بلکه از سوی تنظیم‌کنندگان، مشتریان سازمانی و عموم مردم.

    بارگذاری...