Monen lisenssin alennustarjous
Tietokoneturva Senaattori Wyden ajaa FTC:n tutkintaa Microsoftin...

Senaattori Wyden ajaa FTC:n tutkintaa Microsoftin kiristysohjelmien haavoittuvuuksista

Vuonna Sandos vuonna Tietokoneturva
Käännä:

Yhdysvaltain senaattori Ron Wyden on virallisesti kehottanut Yhdysvaltain liittovaltion kauppakomissiota (FTC) tutkimaan Microsoftia sen "törkeäksi kyberturvallisuushuolimattomuudeksi" terveydenhuollon tarjoaja Ascensioniin kohdistuneen kiristysohjelmahyökkäyksen jälkeen. Senaattorin huoli keskittyy siihen, miten Microsoftin oletusohjelmistokokoonpanot väitetysti altistivat kriittiset infrastruktuuriverkot hyökkäyksille.

Laukaisin: Ascension-tietomurto ja tekniset haavoittuvuudet

  • Yleiskatsaus tapaukseen: Viime vuonna merkittävä terveydenhuoltojärjestelmä Ascension joutui Black Basta -nimisen ryhmän toteuttaman kiristyshaittaohjelmahyökkäyksen kohteeksi. Hyökkäys vaikutti lähes 5,6 miljoonaan ihmiseen . Tietomurtoon liittyi tietovarkauksia sekä sähköisten terveystietojen häiriöitä.
  • Alkuperäinen vektori: Ascensionille työskentelevä urakoitsija napsautti Microsoftin Bing-hakukoneen kautta löydettyä haitallista linkkiä. Tämä napsautus käynnisti ketjureaktioita, joiden avulla hyökkääjät pystyivät hyödyntämään Microsoftin ohjelmistojen turvattomia oletusarvoja.
  • Oletusohjelmiston heikkous: Senaattorin kirjeen mukaan Microsoftin ohjelmisto sisältää vaarallisen turvattomia oletusasetuksia. Yksi keskeinen ongelma on RC4-salauksen tuki Kerberos-todennusprotokollassa. RC4 on vanha salausmenetelmä, jota kryptografinen tutkimus pitää turvattomana. Vaikka se on vanhentunut monissa nykyaikaisissa järjestelmissä, Microsoftin tapauksessa se pysyi oletuksena käytössä. Tämä mahdollisti hyökkääjien käyttää Kerberoasting- nimistä tekniikkaa palvelutilin tunnistetietojen poimimiseen Active Directorysta.

Tekniset tiedot: Kerberoasting, oletusarvoiset salausmenetelmät ja hyödynnettävät heikkoudet

  • Kerberos-salauksen selitys: Active Directory -ympäristössä palvelutilit, joilla on palvelun päänimi (SPN), pyytävät Kerberos-lippuja. Jos nämä liput on salattu heikoilla salausmenetelmillä, kuten RC4, hyökkääjä voi hankkia lipun ja suorittaa sitten offline-hyökkäyksiä (esim. raa'alla voimalla tai kryptoanalyysillä) palauttaakseen palvelutilin selkokieliset tunnistetiedot tai salaisuudet. Tässä tapauksessa Wydenin toimisto väittää, että tietomurto käytti näitä RC4-suojattuja lippuja.
  • RC4:llä on merkitystä: RC4 (Rivest Cipher 4), 1980-luvun lopulla kehitetty jonosalaus, on tunnettu vuosikymmeniä haavoittuvuuksistaan – avainjonon vääristymistä ja alttiutta selkotekstin palautumiselle. Standardointielimet (esim. IETF) ovat kieltäneet sen käytön suojatuissa kanavissa, erityisesti TLS:ssä, 2010-luvun puolivälistä lähtien näiden haavoittuvuuksien vuoksi. Microsoft sisällytti edelleen Kerberokseen oletusarvoisesti RC4-tuen, mikä Wydenin mukaan "altistaa tarpeettomasti" asiakkaat, kun käytössä on heikkoja salasanoja.
  • Salasanan vahvuus ja palvelutilit: Senaattori korostaa myös, että Microsoft ei vaadi vahvoja salasanakäytäntöjä (esim. vähintään 14 merkkiä, satunnaisesti luotuja salasanoja) palvelutileille eikä vaadi vahvempien salausmenetelmien (AES-128 tai AES-256) käyttöä Kerberos-palvelulippujen salauksessa, kun kyseessä ovat SPN:t. Nämä heikot käytännöt yhdistettynä heikkoon oletusarvoiseen salaukseen lisäävät tunnistetietojen vaarantumisen riskiä.
  • Microsoftin suosittelemat lieventävät toimenpiteet: Vastauksena Wydenin kirjeeseen Microsoft on julkaissut ohjeistuksen ja ilmoittanut aikovansa lopettaa RC4:n käytön vaiheittain. Siinä esitettiin myös toimenpiteitä, kuten ryhmähallittujen palvelutilien (gMSA) tai delegoitujen hallittujen palvelutilien (dMSA) käyttö, SPN-tilien auditointi, tikettien salausalgoritmien päivittäminen ja vahvojen, satunnaisesti luotujen salasanojen asettaminen etuoikeutetuille tileille. Microsoft ilmoitti lisäksi, että uusissa Active Directory -verkkotunnuksissa, jotka käyttävät Windows Server 2025:tä, RC4 poistetaan käytöstä oletuksena vuoden 2026 ensimmäisestä neljänneksestä alkaen.

    • Sääntely- ja politiikkaväitteet

    • Senaattori Wydenin kritiikki menee yksittäistä tietomurtoa pidemmälle. Neljän sivun pituisessa kirjeessään FTC:n puheenjohtajalle Andrew Fergusonille hän kuvaa Microsoftia järjestelmällisenä ongelmana: "huolimattoman kyberturvallisuuden kulttuurina", jota pahentaa sen lähes monopoliasema yritysten käyttöjärjestelmissä. Wyden käyttää terävää metaforista kieltä kutsuen Microsoftia "tuhopolttajaksi, joka myy palontorjuntapalveluita uhreilleen".
    • Kirjeessä väitetään, että Microsoftin oletusasetukset (eli vanhojen järjestelmien käyttöönotto, suojaamaton salaus oletuksena, lievemmät salasanakäytännöt) ovat ajan myötä heikentäneet monien organisaatioiden – erityisesti terveydenhuollon ja kriittisen infrastruktuurin – perustason suojausta. Kirjeessä väitetään, että oletusarvojen ja kokoonpanon laiminlyönti ei ole vain IT-ongelma, vaan myös kansallinen turvallisuusongelma.

    Microsoftin vastaus

    • Microsoft myöntää, että RC4 on vanhentunut ja että se ei suosittele sen käyttöä "ohjelmistojemme suunnittelussa ja asiakkaillemme suunnatussa dokumentaatiossa". Yhtiö väittää, että alle 0,1 % sen liikenteestä käyttää edelleen RC4:ää. Microsoft on kuitenkin myös huolissaan siitä, että RC4:n välitön täydellinen poistaminen käytöstä voisi aiheuttaa yhteensopivuusongelmia olemassa olevien ympäristöjen kanssa.
  • Microsoft on sitoutunut poistamaan RC4-tuen asteittain ja jatkamaan samalla vahvojen varoitusten ja ohjeiden antamista asiakkaille. Lisäksi Microsoft huomauttaa, että uudet AD-verkkotunnukset Windows Server 2025:ssä poistavat RC4-salauksen oletusarvoisesti käytöstä.

    • Tietoturvariskien arviointi

    • Hyökkäyspinta ja ketjureaktioseuraukset: Kun ohjelmistotoimittajat sallivat oletusarvoisesti heikon salauksen tai heikot salasanakäytännöt, ne tarjoavat hyökkääjille "helpon valinnan". Jopa tietoturvatietoiset järjestelmänvalvojat voivat periä määrityksiä, jotka sallivat RC4:n tai heikot tunnistetiedot, erityisesti ympäristöissä, joissa jatkuvuutta ja yhteensopivuutta vanhojen järjestelmien kanssa arvostetaan suuresti.
    • Haavoittuvuuksien hyödyntäminen: Kerberoasting-hyökkäykset eivät ole spekulatiivisia; ne ovat tunnettuja, dokumentoituja ja niitä on käytetty onnistuneesti useissa tietomurtotilanteissa. Kun palvelutilin tunnistetiedot ovat vaarantuneet, hyökkääjät voivat siirtyä sivusuunnassa, laajentaa käyttöoikeuksia ja käyttää arkaluonteisia resursseja. Terveydenhuollon ympäristöissä näihin voivat kuulua henkilökohtaiset terveystiedot, IoT-lääkinnälliset laitteet ja kriittinen infrastruktuuri.
    • Sääntelyyn ja luottamukseen liittyvät vaikutukset: Koska Microsoft on syvästi uppoutunut moniin kriittisiin infrastruktuureihin ja yritysympäristöihin, tietoturvan oletusarvoisen määrittämisen epäonnistuminen siirtää automaattisesti puolustustaakan organisaatioille, joilla ei ehkä ole asiantuntemusta, resursseja tai näkyvyyttä tällaisten heikkouksien havaitsemiseksi. Mainevahinko ja vastuuriski ovat merkittäviä.

    Sääntelyvaikutukset

    • Senaattori Wydenin väite herättää tärkeitä kysymyksiä tuotevastuusta , oletusarvoisista suojausasetuksista ja toimittajan vastuusta . Missä määrin ohjelmistotoimittajien tulisi olla vastuussa turvattomista oletusasetuksista?
    • Sääntelytyökaluja, kuten FTC:n valtuuksia tutkia "epäreiluja tai harhaanjohtavia tekoja tai käytäntöjä", voidaan soveltaa ohjelmistojen tietoturvan laiminlyöntiin. Jos Microsoftin todetaan laiminlyöneen toiminnan, se voi luoda ennakkotapauksen siitä, miten oletusasetuksia, salausstandardeja ja salasanavaatimuksia säännellään laajalti käytetyissä ohjelmistoissa.
    • On myös laajempi normatiivinen kysymys: oletusarvoisesti suojattu vs. valinnaisesti suojattu . Wydenin kanta viittaa siihen, että oletusarvojen tulisi olla turvallisuuden puolella, jolloin salasanan vahvuuden tulisi olla korkeampi, heikkojen kryptografisten algoritmien käytöstä poistuminen ja turvallisten asetusten sisällyttäminen järjestelmään – ei valinnaisina kytkentä- tai vaihtokytkiminä.
  • Senaattori Wydenin kirje Yhdysvaltain kauppakomissiolle (FTC) korostaa kyberturvallisuuden, sääntelyn ja yritysten vastuullisuuden yhtymäkohtaa. Ascension-tietomurto on enemmän kuin yksittäinen tapaus; se toimii tapaustutkimuksena siitä, miten laajalti käytetyt ohjelmistojen oletusarvot, heikot salausstandardit ja vanhojen järjestelmien yhteensopivuus voivat yhdessä johtaa laajamittaisiin hyökkäyksiin kriittistä infrastruktuuria vastaan.

    • Senaattori Wydenin kirje Yhdysvaltain kauppakomissiolle (FTC) korostaa kyberturvallisuuden, sääntelyn ja yritysten vastuullisuuden yhtymäkohtaa. Ascension-tietomurto on enemmän kuin yksittäinen tapaus; se toimii tapaustutkimuksena siitä, miten laajalti käytetyt ohjelmistojen oletusarvot, heikot salausstandardit ja vanhojen järjestelmien yhteensopivuus voivat yhdessä johtaa laajamittaisiin hyökkäyksiin kriittistä infrastruktuuria vastaan.

    Microsoftin alkaessa poistaa turvattomia salausmenetelmiä käytöstä ja julkaista ohjeita, keskeinen kysymys on edelleen, vaativatko sääntelymekanismit nopeampia muutoksia, valvovatko ne parempia oletusarvoja ja pitävätkö toimittajat vastuullisina riskien mahdollistamisesta. Tämä asia ansaitsee tarkkaa tarkastelua – ei vain tietoturvatutkijoiden, vaan myös sääntelyviranomaisten, yritysasiakkaiden ja suuren yleisön taholta.

    Ladataan...