הצעת הנחה מרובה רישיונות
אבטחת מחשבים הסנאטור ווידן מקדם חקירת FTC נגד מיקרוסופט בנוגע...

הסנאטור ווידן מקדם חקירת FTC נגד מיקרוסופט בנוגע לפגיעויות כופר

עד Sandos ב-אבטחת מחשבים
לתרגם ל:

הסנאטור האמריקאי רון ווידן קרא רשמית לוועדת הסחר הפדרלית (FTC) לחקור את מיקרוסופט בגין מה שהוא מתאר כ"רשלנות בוטה באבטחת סייבר" בעקבות מתקפת כופר על ספקית שירותי הבריאות אסנשן. דאגתו של הסנאטור מתמקדת באופן שבו תצורות התוכנה המוגדרות כברירת מחדל של מיקרוסופט חשפו לכאורה רשתות תשתית קריטיות להתקפה.

הטריגר: פרצת ההתעלות ופגיעויות טכניות

  • סקירת אירוע: בשנה שעברה, אסנשן, מערכת בריאות מרכזית, נפגעה ממתקפת כופר שבוצעה על ידי הקבוצה המכונה בלאק באסטה , ופגעה בכמעט 5.6 מיליון איש . הפריצה כללה גניבת נתונים, וכן שיבושים ברשומות רפואיות אלקטרוניות.
  • וקטור ראשוני: קבלן שעבד עבור Ascension לחץ על קישור זדוני שהתגלה באמצעות מנוע החיפוש Bing של מיקרוסופט. לחיצה זו גרמה לתגובות שרשרת שאפשרו לתוקפים לנצל ברירות מחדל לא מאובטחות בתוכנות מיקרוסופט.
  • חולשת תוכנה כברירת מחדל: על פי מכתב הסנאטור, התוכנה של מיקרוסופט כוללת הגדרות ברירת מחדל לא מאובטחות באופן מסוכן. בעיה מרכזית אחת היא תמיכה בהצפנת RC4 בתוך פרוטוקול האימות Kerberos. RC4 הוא צופן מדור קודם שנחשב כלא מאובטח על ידי מחקר קריפטוגרפי. למרות שיצא משימוש במערכות מודרניות רבות, במקרה של מיקרוסופט הוא נותר מופעל כברירת מחדל. זה אפשר לתוקפים להשתמש בטכניקה המכונה Kerberoasting כדי לחלץ אישורי חשבון שירות מ-Active Directory.

פרטים טכניים: Kerberoasting, צפני ברירת מחדל וחולשות הניתנות לניצול

  • הסבר על Kerberoasting: בסביבת Active Directory, חשבונות שירות עם שמות עיקריים של שירות (SPN) מבקשים כרטיסי Kerberos. אם כרטיסים אלה מוצפנים באמצעות צפנים חלשים כמו RC4, תוקף יכול להשיג את הכרטיס, ולאחר מכן לבצע התקפות לא מקוונות (למשל, כוח ברוט או קריפטאנליזה) כדי לשחזר את אישורי הטקסט או הסודות של חשבון השירות. במקרה זה, משרדו של Wyden טוען שהפריצה ניצלה כרטיסים אלה המוגנים על ידי RC4.
  • RC4 חשוב: RC4 (Rivest Cipher 4), צופן זרם שפותח בסוף שנות ה-80, ידוע מזה עשרות שנים כבעל פגיעויות - הטיות בזרם המפתח שלו ורגישות לשחזור טקסט פשוט. גופי תקינה (למשל, IETF) אסרו את השימוש בו בערוצים מאובטחים, במיוחד TLS, מאז אמצע שנות ה-2010 בגלל פגמים אלה. מיקרוסופט עדיין כללה תמיכה ב-RC4 ב-Kerberos כברירת מחדל, שלטענת Wyden "חושף" לקוחות ללא צורך כאשר סיסמאות חלשות נמצאות בשימוש.
  • חוזק סיסמה וחשבונות שירות: הסנאטור מדגיש גם כי מיקרוסופט אינה אוכפת מדיניות סיסמאות חזקה (למשל, סיסמאות מינימליות של 14 תווים, סיסמאות שנוצרו באופן אקראי) עבור חשבונות שירות, וגם אינה דורשת שימוש בצפני הצפנה חזקים יותר (AES-128 או AES-256) עבור הצפנת כרטיסי שירות של Kerberos כאשר מעורבים שמות פרטי שירות (SPN). מדיניות חלשה זו, בשילוב עם הצפנת ברירת מחדל חלשה, מגדילה את הסיכון לפגיעה באישורים.
  • אמצעי הקלה שממליצה מיקרוסופט: בתגובה למכתבו של ווידן, מיקרוסופט פרסמה הנחיות ואמרה שהיא מתכננת להפסיק בהדרגה את השימוש ב-RC4. כמו כן, היא תיארה צעדים כגון שימוש בחשבונות שירות מנוהלים קבוצתיים (gMSA) או חשבונות שירות מנוהלים שהוקצתה (dMSA), ביקורת חשבונות עם SPN, עדכון אלגוריתמי הצפנת כרטיסים וקביעת סיסמאות חזקות שנוצרו באופן אקראי עבור חשבונות פריבילגיים. מיקרוסופט חשפה עוד כי תחומים חדשים של Active Directory המשתמשים ב-Windows Server 2025 יקבלו את RC4 מושבת כברירת מחדל החל מהרבעון הראשון של 2026.

    • טענות רגולטוריות ומדיניות

    • ביקורתו של הסנטור ווידן חורגת מעבר לפרצה יחידה. במכתבו בן ארבעת העמודים ליו"ר ה-FTC, אנדרו פרגוסון, הוא מתאר את מיקרוסופט כבעלת בעיה מערכתית: "תרבות של רשלנות באבטחת סייבר" המוגברת על ידי המונופול הכמעט-מוחלט שלה על מערכות הפעלה ארגוניות. ווידן משתמש בשפה מטאפורית חדה, ומכנה את מיקרוסופט כ"מצית שמוכרת שירותי כיבוי אש לקורבנותיה".
    • המכתב טוען כי תצורות ברירת המחדל של מיקרוסופט (כלומר, הפעלת הצפנה מדור קודם, הצפנה לא מאובטחת כברירת מחדל, ומדיניות סיסמאות מקלה) החלישו לאורך זמן את ההגנות הבסיסיות בארגונים רבים - במיוחד אלו בתחום הבריאות ותשתיות קריטיות. ההצעה היא שרשלנות בברירות מחדל ובתצורה אינה רק סוגיה של IT אלא דאגה לביטחון לאומי.

    תגובת מיקרוסופט

    • הכרה בכך ש- RC4 מיושן , ושמיקרוסופט מעודדת את השימוש בו "באופן שבו אנו מתכננים את התוכנה שלנו ובתיעוד שלנו ללקוחות". החברה טוענת שפחות מ-0.1% מהתנועה שלה עדיין משתמשת ב-RC4. עם זאת, מיקרוסופט גם מביעה דאגה מכך שהשבתה מלאה של RC4 באופן מיידי עלולה לגרום לבעיות תאימות עם סביבות קיימות.
  • מיקרוסופט התחייבה לבטל בהדרגה את התמיכה ב-RC4, תוך שהיא ממשיכה לספק אזהרות והנחיות חזקות ללקוחות. בנוסף, מיקרוסופט מציינת שדומיינים חדשים של AD ב-Windows Server 2025 יבטל, כברירת מחדל, את הצפנת RC4.

    • הערכת סיכוני אבטחה

    • משטח התקפה והשלכות מדורגות: כאשר ספקי תוכנה מאפשרים הצפנה חלשה כברירת מחדל או מדיניות סיסמאות חלשה, הם מספקים "בחירה קלה" לתוקפים. אפילו מנהלי מערכת המודעים לאבטחה עשויים לרשת תצורות המאפשרות RC4 או לאפשר אישורים חלשים, במיוחד בסביבות שבהן המשכיות ותאימות מדור קודם מוערכים מאוד.
    • ניצול פגיעויות: התקפות Kerberoasting אינן ספקולטיביות; הן ידועות, מתועדות ונעשה בהן שימוש מוצלח במספר אירועי פריצה. לאחר שפריצות פרטי חשבון שירות נפגעות, תוקפים יכולים לנוע לרוחב, להעלות הרשאות ולגשת לנכסים רגישים. במסגרות שירותי בריאות, זה יכול לכלול נתוני בריאות אישיים, מכשירים רפואיים של האינטרנט של הדברים ותשתיות קריטיות.
    • השלכות רגולטוריות ואמון: מכיוון שמיקרוסופט מושרשת עמוק בתשתיות קריטיות ובסביבות ארגוניות רבות, כשלים בהגדרת אבטחה כברירת מחדל מעבירים אוטומטית את נטל ההגנה לארגונים שעשויים להיעדר מומחיות, משאבים או נראות כדי לזהות חולשות כאלה. הנזק התדמיתי וסיכון האחריות הם משמעותיים.

    השלכות רגולטוריות

    • הטענה של הסנטור ווידן מעלה שאלות חשובות בנוגע לחבות מוצר , הגדרות אבטחה המוגדרות כברירת מחדל ואחריות הספק . באיזו מידה יש להטיל על ספקי תוכנה אחריות על הגדרות ברירת מחדל לא מאובטחות?
    • כלים רגולטוריים כמו סמכותה של ה-FTC לחקור "מעשים או נוהגים לא הוגנים או מטעים" עשויים להיות מיושמים על הזנחה באבטחת תוכנה. אם יימצא שמיקרוסופט רשלנית, הדבר עלול ליצור תקדים לאופן שבו תצורות ברירת מחדל, סטנדרטים של הצפנה ודרישות סיסמה מוסדרים בתוכנות הנמצאות בשימוש נרחב.
    • ישנה גם סוגיה נורמטיבית רחבה יותר: אבטחה כברירת מחדל לעומת אבטחה כאופציה . עמדתו של ווידן מרמזת שברירות המחדל צריכות להיות בצד האבטחה, עם חוזק סיסמה גבוה יותר, הוצאה משימוש באלגוריתמים קריפטוגרפיים חלשים ותצורות בטוחות המובנות - ולא כמתגים אופציונליים.
  • מכתבו של הסנטור ווידן לוועדת הסחר הפדרלית (FTC) מדגיש את השילוב בין אבטחת סייבר, רגולציה ואחריות תאגידית. פריצת ה-Ascension היא יותר מאירוע בודד; היא משמשת כמקרה בוחן כיצד ברירת מחדל של תוכנה נפוצה, תקני הצפנה חלשים ותאימות מדור קודם יכולים להשתלב יחד כדי לגרום להתקפות בקנה מידה גדול על תשתיות קריטיות.

    • מכתבו של הסנטור ווידן לוועדת הסחר הפדרלית (FTC) מדגיש את השילוב בין אבטחת סייבר, רגולציה ואחריות תאגידית. פריצת ה-Ascension היא יותר מאירוע בודד; היא משמשת כמקרה בוחן כיצד ברירת מחדל של תוכנה נפוצה, תקני הצפנה חלשים ותאימות מדור קודם יכולים להשתלב יחד כדי לגרום להתקפות בקנה מידה גדול על תשתיות קריטיות.

    בעוד מיקרוסופט מתחילה להוציא בהדרגה צפנים לא מאובטחים ולפרסם הנחיות, השאלה המרכזית נותרת האם מנגנוני רגולציה ידרשו שינוי מהיר יותר, יאכפו ברירות מחדל טובות יותר ויטיל על ספקים אחריות על יצירת סיכונים. עניין זה דורש בדיקה מדוקדקת - לא רק מצד חוקרי אבטחה, אלא גם מצד רגולטורים, לקוחות ארגוניים והציבור הרחב.

    טוען...