Ponuda s popustom na više licenci
Sigurnost računala Senator Wyden potiče FTC istragu protiv Microsofta zbog...

Senator Wyden potiče FTC istragu protiv Microsofta zbog ranjivosti ransomwarea

Do Sandos. Sigurnost računala. godine
Prevedi na:

Američki senator Ron Wyden formalno je pozvao Federalnu trgovinsku komisiju (FTC) da istraži Microsoft zbog onoga što opisuje kao "grubi nemar u kibernetičkoj sigurnosti" nakon napada ransomwarea na pružatelja zdravstvene zaštite Ascension. Senatorova zabrinutost usredotočena je na to kako su Microsoftove zadane softverske konfiguracije navodno izložile kritične infrastrukturne mreže napadima.

Okidač: Proboj Uzašašća i tehničke ranjivosti

  • Pregled incidenta: Prošle godine, Ascension, veliki zdravstveni sustav, pogođen je napadom ransomwarea koji je izvela grupa poznata kao Black Basta , a koji je utjecao na gotovo 5,6 milijuna pojedinaca . Proboj je uključivao krađu podataka, kao i poremećaj u elektroničkim zdravstvenim kartonima.
  • Početni vektor: Izvođač radova koji radi za Ascension kliknuo je na zlonamjernu poveznicu otkrivenu putem Microsoftove tražilice Bing. Ovaj klik pokrenuo je lančanu reakciju koja je omogućila napadačima da iskoriste nesigurne zadane postavke u Microsoftovom softveru.
  • Slabost zadanog softvera: Prema pismu senatora, Microsoftov softver uključuje opasno nesigurne zadane postavke. Jedan od ključnih problema je podrška za RC4 enkripciju unutar Kerberos protokola za autentifikaciju. RC4 je naslijeđena šifra koju kriptografska istraživanja smatraju nesigurnom. Iako je zastarjela u mnogim modernim sustavima, u Microsoftovom slučaju ostala je omogućena prema zadanim postavkama. To je omogućilo napadačima korištenje tehnike poznate kao Kerberoasting za izdvajanje vjerodajnica servisnog računa iz Active Directoryja.

Tehničke specifikacije: Kerberoasting, zadane šifre i slabosti koje se mogu iskoristiti

  • Objašnjenje Kerberoastinga: U okruženju Active Directoryja, servisni računi s glavnim nazivima usluga (SPN-ovima) zahtijevaju Kerberos ulaznice. Ako su te ulaznice šifrirane slabim šiframa poput RC4, napadač može dobiti ulaznicu, a zatim izvesti izvanmrežne napade (npr. brute force ili kriptoanalizu) kako bi oporavio vjerodajnice ili tajne servisnog računa u obliku običnog teksta. U ovom slučaju, Wydenov ured tvrdi da su u proboju korištene ove RC4 zaštićene ulaznice.
  • RC4 je važan: RC4 (Rivest Cipher 4), strujna šifra razvijena krajem 1980-ih, desetljećima je poznata po svojim ranjivostima - pristranostima u svom ključnom toku i osjetljivosti na oporavak otvorenog teksta. Tijela za standardizaciju (npr. IETF) zabranila su njezinu upotrebu u sigurnim kanalima, posebno TLS-u, od sredine 2010-ih zbog tih nedostataka. Microsoft je i dalje uključivao podršku za RC4 u Kerberos prema zadanim postavkama, za koju Wyden tvrdi da "nepotrebno izlaže" korisnike kada se koriste slabe lozinke.
  • Jačina lozinke i servisni računi: Senator također ističe da Microsoft ne provodi pravila o jakim lozinkama (npr. minimalno 14 znakova, nasumično generirane lozinke) za servisne račune, niti zahtijeva korištenje jačih šifri za šifriranje (AES-128 ili AES-256) za šifriranje Kerberos servisnih ulaznica kada su uključeni SPN-ovi. Ove slabe politike, u kombinaciji sa slabom zadanom enkripcijom, povećavaju rizik od kompromitiranja vjerodajnica.
  • Ublažavanja koja Microsoft preporučuje: Kao odgovor na Wydenovo pismo, Microsoft je objavio smjernice i rekao da planira postupno ukinuti korištenje RC4. Također je naveo korake kao što su korištenje grupnih upravljanih servisnih računa (gMSA) ili delegiranih upravljanih servisnih računa (dMSA), revizija računa s SPN-ovima, ažuriranje algoritama za šifriranje ulaznica i postavljanje snažnih, nasumično generiranih lozinki za privilegirane račune. Microsoft je nadalje otkrio da će nove domene Active Directoryja koje koriste Windows Server 2025 imati RC4 onemogućen prema zadanim postavkama počevši od prvog tromjesečja 2026.

    • Regulatorne i političke optužbe

    • Kritika senatora Wydena nadilazi puko kršenje pravila. U svom četverostraničnom pismu predsjedniku FTC-a Andrewu Fergusonu, on opisuje Microsoft kao tvrtku sa sistemskim problemom: „kulturom nemarne kibernetičke sigurnosti“ pojačanom gotovo monopolom nad poslovnim operativnim sustavima. Wyden koristi oštar metaforički jezik, nazivajući Microsoft sličnim „piromanu koji prodaje usluge gašenja požara svojim žrtvama“.
    • U pismu se tvrdi da su Microsoftove zadane konfiguracije (tj. omogućavanje naslijeđenih, nesigurnih enkripcija prema zadanim postavkama, blage politike lozinki) s vremenom oslabile osnovne zaštite u mnogim organizacijama - posebno onima u zdravstvu i kritičnoj infrastrukturi. Sugestija je da nemar u zadanim postavkama i konfiguraciji nije samo IT problem već i problem nacionalne sigurnosti.

    Microsoftov odgovor

    • Priznanje da je RC4 zastario i da Microsoft obeshrabruje njegovu upotrebu "u načinu na koji dizajniramo naš softver i u našoj dokumentaciji za korisnike". Tvrtka tvrdi da manje od 0,1% njenog prometa još uvijek koristi RC4. Međutim, Microsoft također izražava zabrinutost da bi potpuno onemogućavanje RC4 moglo odmah uzrokovati probleme s kompatibilnošću s postojećim okruženjima.
  • Microsoft se obvezao postupno ukidati podršku za RC4, uz nastavak pružanja stroga upozorenja i smjernica korisnicima. Osim toga, Microsoft napominje da će nove AD domene u sustavu Windows Server 2025 prema zadanim postavkama onemogućiti RC4 enkripciju.

    • Procjena sigurnosnog rizika

    • Površina napada i kaskadne posljedice: Kada dobavljači softvera dopuštaju slabu enkripciju prema zadanim postavkama ili slabe politike lozinki, oni pružaju napadačima „lak izbor“. Čak i administratori sustava koji su svjesni sigurnosti mogu naslijediti konfiguracije koje dopuštaju RC4 ili slabe vjerodajnice, posebno u okruženjima gdje se kontinuitet i kompatibilnost sa starijim sustavima jako cijene.
    • Iskorištavanje ranjivosti: Napadi Kerberoastingom nisu spekulativni; poznati su, dokumentirani i uspješno su korišteni u višestrukim incidentima kršenja sigurnosti. Nakon što su vjerodajnice servisnog računa kompromitirane, napadači se mogu kretati lateralno, eskalirati privilegije i pristupiti osjetljivoj imovini. U zdravstvenim ustanovama to može uključivati osobne zdravstvene podatke, IoT medicinske uređaje i kritičnu infrastrukturu.
    • Regulatorne implikacije i implikacije na povjerenje: Budući da je Microsoft duboko ugrađen u mnoge kritične infrastrukture i poslovna okruženja, neuspjesi u konfiguriranju sigurnosti prema zadanim postavkama automatski prebacuju teret obrane na organizacije kojima možda nedostaje stručnosti, resursa ili vidljivosti za otkrivanje takvih slabosti. Šteta na ugledu i rizik od odgovornosti su značajni.

    Regulatorne implikacije

    • Navod senatora Wydena postavlja važna pitanja o odgovornosti za proizvod , zadanim sigurnosnim postavkama i odgovornosti dobavljača . U kojoj mjeri bi dobavljači softvera trebali biti odgovorni za nesigurne zadane postavke?
    • Regulatorni alati poput ovlasti FTC-a za istragu „nepoštenih ili obmanjujućih djela ili praksi“ mogu se primijeniti na zanemarivanje sigurnosti softvera. Ako se utvrdi da je Microsoft nemaran, to bi moglo postaviti presedan za način na koji se reguliraju zadane konfiguracije, standardi šifriranja i zahtjevi za lozinkom u široko korištenom softveru.
    • Postoji i šire normativno pitanje: sigurnost po zadanim postavkama nasuprot sigurnosti po opciji . Wydenov stav implicira da bi zadane postavke trebale biti na strani sigurnosti, s većom snagom lozinke, ukidanjem slabih kriptografskih algoritama i ugrađenim sigurnim konfiguracijama - a ne kao opcionalnim prekidačima.
  • Pismo senatora Wydena upućeno FTC-u naglašava spoj kibernetičke sigurnosti, regulacije i korporativne odgovornosti. Kršenje Ascensiona više je od jednog incidenta; služi kao studija slučaja o tome kako se široko korištene softverske zadane postavke, slabi standardi šifriranja i kompatibilnost sa starijim sustavima mogu kombinirati i izazvati velike napade na kritičnu infrastrukturu.

    • Pismo senatora Wydena upućeno FTC-u naglašava spoj kibernetičke sigurnosti, regulacije i korporativne odgovornosti. Kršenje Ascensiona više je od jednog incidenta; služi kao studija slučaja o tome kako se široko korištene softverske zadane postavke, slabi standardi šifriranja i kompatibilnost sa starijim sustavima mogu kombinirati i izazvati velike napade na kritičnu infrastrukturu.

    Dok Microsoft počinje postupno ukidati nesigurne šifre i objavljivati smjernice, središnje pitanje ostaje hoće li regulatorni mehanizmi zahtijevati brže promjene, provoditi bolje zadane postavke i smatrati dobavljače odgovornima za omogućavanje rizika. Ovo pitanje zaslužuje pomnu provjeru - ne samo od strane istraživača sigurnosti, već i od strane regulatora, poslovnih korisnika i šire javnosti.

    Učitavam...