मल्टी-लाइसेंस छूट उद्धरण
कंप्यूटर सुरक्षा सीनेटर वाइडेन ने रैनसमवेयर कमजोरियों को लेकर माइक्रोसॉफ्ट...

सीनेटर वाइडेन ने रैनसमवेयर कमजोरियों को लेकर माइक्रोसॉफ्ट के खिलाफ एफटीसी जांच की मांग की

Sandos से कंप्यूटर सुरक्षा तक
अनुवाद करने के लिए:

अमेरिकी सीनेटर रॉन वाइडन ने संघीय व्यापार आयोग (FTC) से औपचारिक रूप से माइक्रोसॉफ्ट की जाँच करने का आह्वान किया है, जिसे वे स्वास्थ्य सेवा प्रदाता कंपनी एसेंशन पर रैंसमवेयर हमले के बाद "घोर साइबर सुरक्षा लापरवाही" बताते हैं। सीनेटर की चिंता इस बात पर केंद्रित है कि कैसे माइक्रोसॉफ्ट के डिफ़ॉल्ट सॉफ़्टवेयर कॉन्फ़िगरेशन ने कथित तौर पर महत्वपूर्ण बुनियादी ढाँचे के नेटवर्क को हमले के लिए उजागर कर दिया।

ट्रिगर: एसेंशन उल्लंघन और तकनीकी कमजोरियाँ

  • घटना का अवलोकन: पिछले साल, एक प्रमुख स्वास्थ्य सेवा प्रणाली, एसेंशन, ब्लैक बस्ता नामक एक समूह द्वारा किए गए रैंसमवेयर हमले की चपेट में आ गई थी, जिससे लगभग 5.6 मिलियन लोग प्रभावित हुए थे। इस हमले में डेटा चोरी के साथ-साथ इलेक्ट्रॉनिक स्वास्थ्य रिकॉर्ड में भी व्यवधान उत्पन्न हुआ था।
  • प्रारंभिक वेक्टर: एसेंशन के लिए काम करने वाले एक ठेकेदार ने माइक्रोसॉफ्ट के बिंग सर्च इंजन के ज़रिए मिले एक दुर्भावनापूर्ण लिंक पर क्लिक किया। इस क्लिक ने एक श्रृंखलाबद्ध प्रतिक्रिया शुरू कर दी जिससे हमलावरों को माइक्रोसॉफ्ट सॉफ्टवेयर में असुरक्षित डिफ़ॉल्ट का फायदा उठाने का मौका मिल गया।
  • डिफ़ॉल्ट सॉफ़्टवेयर की कमज़ोरी: सीनेटर के पत्र के अनुसार, माइक्रोसॉफ्ट के सॉफ़्टवेयर में खतरनाक रूप से असुरक्षित डिफ़ॉल्ट सेटिंग्स शामिल हैं। एक प्रमुख समस्या केर्बेरोस प्रमाणीकरण प्रोटोकॉल के अंतर्गत RC4 एन्क्रिप्शन का समर्थन है। RC4 एक पारंपरिक सिफर है जिसे क्रिप्टोग्राफ़िक अनुसंधान द्वारा असुरक्षित माना गया है। हालाँकि कई आधुनिक प्रणालियों में इसे अप्रचलित कर दिया गया है, माइक्रोसॉफ्ट के मामले में यह डिफ़ॉल्ट रूप से सक्षम रहा। इससे हमलावरों को एक्टिव डायरेक्टरी से सेवा खाता क्रेडेंशियल निकालने के लिए केर्बेरोस्टिंग नामक तकनीक का उपयोग करने की अनुमति मिल गई।

तकनीकी विशिष्टताएँ: केर्बेरोस्टिंग, डिफ़ॉल्ट सिफर, और शोषण योग्य कमज़ोरियाँ

  • केर्बेरोस्टिंग की व्याख्या: एक सक्रिय निर्देशिका वातावरण में, सेवा प्रिंसिपल नाम (SPN) वाले सेवा खाते केर्बेरोस टिकट का अनुरोध करते हैं। यदि ये टिकट RC4 जैसे कमज़ोर सिफर का उपयोग करके एन्क्रिप्ट किए गए हैं, तो एक हमलावर टिकट प्राप्त कर सकता है, और फिर सेवा खाते के प्लेनटेक्स्ट क्रेडेंशियल या सीक्रेट्स को पुनर्प्राप्त करने के लिए ऑफ़लाइन हमले (जैसे, ब्रूट फ़ोर्स या क्रिप्टैनालिसिस) कर सकता है। इस मामले में, वाइडन के कार्यालय का दावा है कि उल्लंघन में इन RC4-संरक्षित टिकटों का उपयोग किया गया था।
  • RC4 मायने रखता है: RC4 (रिवेस्ट सिफर 4), एक स्ट्रीम सिफर जिसे 1980 के दशक के अंत में विकसित किया गया था, दशकों से अपनी कमज़ोरियों के लिए जाना जाता रहा है—इसकी कीस्ट्रीम में पूर्वाग्रह और प्लेनटेक्स्ट रिकवरी के प्रति संवेदनशीलता। मानक निकायों (जैसे, IETF) ने इन खामियों के कारण 2010 के दशक के मध्य से सुरक्षित चैनलों, खासकर TLS में इसके इस्तेमाल पर प्रतिबंध लगा दिया है। Microsoft ने अभी भी डिफ़ॉल्ट रूप से Kerberos में RC4 के लिए समर्थन शामिल किया है, जिसके बारे में वाइडेन का कहना है कि कमज़ोर पासवर्ड इस्तेमाल होने पर यह ग्राहकों को "अनावश्यक रूप से उजागर" करता है।
  • पासवर्ड की मज़बूती और सेवा खाते: सीनेटर ने यह भी रेखांकित किया कि Microsoft सेवा खातों के लिए मज़बूत पासवर्ड नीतियाँ (जैसे, न्यूनतम 14 वर्ण, यादृच्छिक रूप से जनरेट किए गए पासवर्ड) लागू नहीं करता है, और न ही SPN के मामले में Kerberos सेवा टिकट एन्क्रिप्शन के लिए मज़बूत एन्क्रिप्शन सिफ़र (AES-128 या AES-256) के इस्तेमाल की आवश्यकता रखता है। ये कमज़ोर नीतियाँ, कमज़ोर डिफ़ॉल्ट एन्क्रिप्शन के साथ मिलकर, क्रेडेंशियल से छेड़छाड़ के जोखिम को बढ़ा देती हैं।
  • माइक्रोसॉफ्ट द्वारा सुझाए गए उपाय: वाइडन के पत्र के जवाब में, माइक्रोसॉफ्ट ने दिशानिर्देश प्रकाशित किए हैं और कहा है कि वह RC4 के उपयोग को चरणबद्ध तरीके से समाप्त करने की योजना बना रहा है। इसमें समूह प्रबंधित सेवा खातों (gMSA) या प्रत्यायोजित प्रबंधित सेवा खातों (dMSA) का उपयोग, SPN वाले खातों का ऑडिट, टिकट एन्क्रिप्शन एल्गोरिदम को अपडेट करना, और विशेषाधिकार प्राप्त खातों के लिए मज़बूत, यादृच्छिक रूप से जनरेट किए गए पासवर्ड सेट करना जैसे कदमों की भी रूपरेखा दी गई है। माइक्रोसॉफ्ट ने आगे बताया कि विंडोज सर्वर 2025 का उपयोग करने वाले नए एक्टिव डायरेक्टरी डोमेन में 2026 की पहली तिमाही से डिफ़ॉल्ट रूप से RC4 अक्षम हो जाएगा।

    • नियामक और नीतिगत आरोप

    • सीनेटर वाइडन की आलोचना एक मात्र उल्लंघन से कहीं आगे जाती है। एफटीसी अध्यक्ष एंड्रयू फर्ग्यूसन को लिखे अपने चार पन्नों के पत्र में, उन्होंने माइक्रोसॉफ्ट को एक प्रणालीगत समस्या बताया है: एक "लापरवाह साइबर सुरक्षा संस्कृति", जो एंटरप्राइज़ ऑपरेटिंग सिस्टम पर उसके लगभग एकाधिकार से और भी बढ़ गई है। वाइडन तीखी रूपकात्मक भाषा का प्रयोग करते हुए, माइक्रोसॉफ्ट को "अपने पीड़ितों को अग्निशमन सेवाएँ बेचने वाले आगजनी करने वाले" के समान बताते हैं।
    • पत्र में ज़ोर देकर कहा गया है कि माइक्रोसॉफ्ट के डिफ़ॉल्ट कॉन्फ़िगरेशन (जैसे, लीगेसी को सक्षम करना, डिफ़ॉल्ट रूप से असुरक्षित एन्क्रिप्शन, और पासवर्ड नीतियों में ढील) ने समय के साथ कई संगठनों—खासकर स्वास्थ्य सेवा और महत्वपूर्ण बुनियादी ढाँचे से जुड़े संगठनों—में आधारभूत सुरक्षा को कमज़ोर कर दिया है। सुझाव यह है कि डिफ़ॉल्ट और कॉन्फ़िगरेशन में लापरवाही सिर्फ़ एक आईटी समस्या नहीं, बल्कि राष्ट्रीय सुरक्षा की चिंता का विषय है।

    माइक्रोसॉफ्ट की प्रतिक्रिया

    • यह स्वीकार करते हुए कि RC4 पुराना हो चुका है , और Microsoft "अपने सॉफ़्टवेयर के डिज़ाइन और ग्राहकों को दिए जाने वाले दस्तावेज़ों में" इसके इस्तेमाल को हतोत्साहित करता है। कंपनी का दावा है कि उसके ट्रैफ़िक का 0.1% से भी कम हिस्सा अभी भी RC4 का उपयोग करता है। हालाँकि, Microsoft यह भी चिंता व्यक्त करता है कि RC4 को तुरंत पूरी तरह से अक्षम करने से मौजूदा परिवेशों के साथ संगतता संबंधी समस्याएँ उत्पन्न हो सकती हैं।
  • माइक्रोसॉफ्ट ने ग्राहकों को कड़ी चेतावनियाँ और मार्गदर्शन जारी रखते हुए, धीरे-धीरे RC4 समर्थन समाप्त करने की प्रतिबद्धता जताई है। इसके अतिरिक्त, माइक्रोसॉफ्ट ने बताया है कि विंडोज सर्वर 2025 में नए AD डोमेन, डिफ़ॉल्ट रूप से, RC4 एन्क्रिप्शन को अक्षम कर देंगे।

    • सुरक्षा जोखिम मूल्यांकन

    • हमले की सतह और व्यापक परिणाम: जब सॉफ़्टवेयर विक्रेता डिफ़ॉल्ट रूप से कमज़ोर एन्क्रिप्शन या कमज़ोर पासवर्ड नीतियों की अनुमति देते हैं, तो वे हमलावरों के लिए एक "आसान विकल्प" प्रदान करते हैं। यहाँ तक कि सुरक्षा के प्रति जागरूक सिस्टम प्रशासक भी ऐसे कॉन्फ़िगरेशन प्राप्त कर सकते हैं जो RC4 की अनुमति देते हैं या कमज़ोर क्रेडेंशियल्स की अनुमति देते हैं, खासकर ऐसे वातावरण में जहाँ निरंतरता और विरासत संगतता को अत्यधिक महत्व दिया जाता है।
    • भेद्यता शोषण: केर्बेरोस्टिंग हमले काल्पनिक नहीं होते; ये ज्ञात हैं, प्रलेखित हैं, और कई उल्लंघन घटनाओं में सफलतापूर्वक उपयोग किए गए हैं। एक बार सेवा खाते की साख से छेड़छाड़ हो जाने पर, हमलावर आगे बढ़ सकते हैं, विशेषाधिकार बढ़ा सकते हैं, और संवेदनशील संपत्तियों तक पहुँच प्राप्त कर सकते हैं। स्वास्थ्य सेवा क्षेत्रों में, इसमें व्यक्तिगत स्वास्थ्य डेटा, IoT चिकित्सा उपकरण और महत्वपूर्ण बुनियादी ढाँचा शामिल हो सकता है।
    • नियामक और विश्वास संबंधी निहितार्थ: चूँकि Microsoft कई महत्वपूर्ण बुनियादी ढाँचों और उद्यम परिवेशों में गहराई से समाया हुआ है, इसलिए डिफ़ॉल्ट रूप से सुरक्षा कॉन्फ़िगर करने में विफलताओं से बचाव का भार स्वतः ही उन संगठनों पर आ जाता है जिनके पास ऐसी कमज़ोरियों का पता लगाने के लिए विशेषज्ञता, संसाधन या दृश्यता का अभाव हो सकता है। प्रतिष्ठा को नुकसान और देयता का जोखिम काफी बड़ा है।

    नियामक निहितार्थ

    • सीनेटर वाइडेन का आरोप उत्पाद दायित्व , डिफ़ॉल्ट सुरक्षित सेटिंग्स और विक्रेता की ज़िम्मेदारी के बारे में महत्वपूर्ण प्रश्न उठाता है। असुरक्षित डिफ़ॉल्ट के लिए सॉफ़्टवेयर विक्रेताओं को किस हद तक ज़िम्मेदार ठहराया जाना चाहिए?
    • "अनुचित या भ्रामक कृत्यों या प्रथाओं" की जाँच करने के लिए FTC के अधिकार जैसे नियामक उपकरण सॉफ़्टवेयर सुरक्षा की उपेक्षा पर लागू हो सकते हैं। यदि Microsoft लापरवाह पाया जाता है, तो यह व्यापक रूप से उपयोग किए जाने वाले सॉफ़्टवेयर में डिफ़ॉल्ट कॉन्फ़िगरेशन, एन्क्रिप्शन मानकों और पासवर्ड आवश्यकताओं के विनियमन के लिए एक मिसाल कायम कर सकता है।
    • एक व्यापक मानक मुद्दा भी है: डिफ़ॉल्ट रूप से सुरक्षित बनाम विकल्प द्वारा सुरक्षित । वाइडेन के दृष्टिकोण का तात्पर्य है कि डिफ़ॉल्ट को सुरक्षा के पक्ष में होना चाहिए, जिसमें उच्च पासवर्ड शक्ति, कमजोर क्रिप्टोग्राफ़िक एल्गोरिदम का बहिष्कार, और सुरक्षित कॉन्फ़िगरेशन शामिल होना चाहिए - वैकल्पिक टॉगल के रूप में नहीं।
  • सीनेटर वाइडेन का FTC को लिखा पत्र साइबर सुरक्षा, विनियमन और कॉर्पोरेट जवाबदेही के संगम को उजागर करता है। एसेंशन उल्लंघन एक अकेली घटना से कहीं अधिक है; यह एक केस स्टडी के रूप में कार्य करता है कि कैसे व्यापक रूप से प्रयुक्त सॉफ़्टवेयर डिफ़ॉल्ट, कमज़ोर एन्क्रिप्शन मानक और विरासत संगतता मिलकर महत्वपूर्ण बुनियादी ढाँचे पर बड़े पैमाने पर हमलों को जन्म दे सकते हैं।

    • सीनेटर वाइडेन का FTC को लिखा पत्र साइबर सुरक्षा, विनियमन और कॉर्पोरेट जवाबदेही के संगम को उजागर करता है। एसेंशन उल्लंघन एक अकेली घटना से कहीं अधिक है; यह एक केस स्टडी के रूप में कार्य करता है कि कैसे व्यापक रूप से प्रयुक्त सॉफ़्टवेयर डिफ़ॉल्ट, कमज़ोर एन्क्रिप्शन मानक और विरासत संगतता मिलकर महत्वपूर्ण बुनियादी ढाँचे पर बड़े पैमाने पर हमलों को जन्म दे सकते हैं।

    जैसे-जैसे माइक्रोसॉफ्ट असुरक्षित सिफर को चरणबद्ध तरीके से समाप्त करने और दिशानिर्देश प्रकाशित करने की प्रक्रिया शुरू कर रहा है, मुख्य प्रश्न यह बना हुआ है कि क्या नियामक तंत्र अधिक तीव्र परिवर्तन की मांग करेंगे, बेहतर डिफ़ॉल्ट लागू करेंगे, और जोखिम को बढ़ावा देने के लिए विक्रेताओं को ज़िम्मेदार ठहराएँगे। यह मामला न केवल सुरक्षा शोधकर्ताओं द्वारा, बल्कि नियामकों, उद्यम ग्राहकों और आम जनता द्वारा भी गहन जाँच का पात्र है।

    लोड हो रहा है...