Preventivo sconto multi-licenza
Sicurezza informatica Il senatore Wyden spinge l'indagine della FTC su...

Il senatore Wyden spinge l'indagine della FTC su Microsoft per le vulnerabilità del ransomware

Entro Sandos nel Sicurezza informatica
Traduci in:

Il senatore statunitense Ron Wyden ha formalmente chiesto alla Federal Trade Commission (FTC) di indagare su Microsoft per quella che definisce "grave negligenza in materia di sicurezza informatica" a seguito di un attacco ransomware al fornitore di servizi sanitari Ascension. La preoccupazione del senatore è incentrata sul modo in cui le configurazioni software predefinite di Microsoft avrebbero esposto le reti delle infrastrutture critiche agli attacchi.

Il fattore scatenante: la violazione dell'Ascensione e le vulnerabilità tecniche

  • Panoramica dell'incidente: l'anno scorso, Ascension, un importante sistema sanitario, è stato colpito da un attacco ransomware condotto dal gruppo noto come Black Basta , che ha colpito quasi 5,6 milioni di persone . La violazione ha comportato il furto di dati e l'interruzione delle cartelle cliniche elettroniche.
  • Vettore iniziale: un collaboratore esterno che lavorava per Ascension ha cliccato su un link dannoso scoperto tramite il motore di ricerca Bing di Microsoft. Questo clic ha innescato reazioni a catena che hanno permesso agli aggressori di sfruttare le impostazioni predefinite non sicure del software Microsoft.
  • Debolezza del software predefinito: secondo la lettera del senatore, il software Microsoft include impostazioni predefinite pericolosamente insicure. Un problema chiave è il supporto per la crittografia RC4 all'interno del protocollo di autenticazione Kerberos. RC4 è un cifrario legacy ritenuto insicuro dalla ricerca crittografica. Sebbene deprecato in molti sistemi moderni, nel caso di Microsoft è rimasto abilitato di default. Ciò ha consentito agli aggressori di utilizzare una tecnica nota come Kerberoasting per estrarre le credenziali degli account di servizio da Active Directory.

Specifiche tecniche: Kerberoasting, cifrari predefiniti e debolezze sfruttabili

  • Kerberoasting spiegato: in un ambiente Active Directory, gli account di servizio con Service Principal Name (SPN) richiedono ticket Kerberos. Se tali ticket sono crittografati con cifrari deboli come RC4, un aggressore può ottenere il ticket e quindi eseguire attacchi offline (ad esempio, forza bruta o crittoanalisi) per recuperare le credenziali in chiaro o i segreti dell'account di servizio. In questo caso, l'ufficio di Wyden sostiene che la violazione abbia utilizzato questi ticket protetti da RC4.
  • RC4 è importante: RC4 (Rivest Cipher 4), un cifrario a flusso sviluppato alla fine degli anni '80, è noto da decenni per le sue vulnerabilità, ovvero bias nel suo flusso di chiavi e suscettibilità al recupero del testo in chiaro. Gli enti di standardizzazione (ad esempio, IETF) ne hanno vietato l'uso nei canali sicuri, in particolare TLS, dalla metà degli anni 2010 a causa di queste falle. Microsoft ha comunque incluso il supporto per RC4 in Kerberos di default, il che, secondo Wyden, "espone inutilmente" i clienti quando vengono utilizzate password deboli.
  • Sicurezza delle password e account di servizio: il senatore sottolinea inoltre che Microsoft non applica criteri di sicurezza per le password (ad esempio, minimo di 14 caratteri, password generate casualmente) per gli account di servizio, né richiede l'uso di cifrari più potenti (AES-128 o AES-256) per la crittografia dei ticket di servizio Kerberos quando sono coinvolti SPN. Queste politiche deboli, combinate con una crittografia predefinita debole, amplificano il rischio di compromissione delle credenziali.
  • Mitigazioni consigliate da Microsoft: in risposta alla lettera di Wyden, Microsoft ha pubblicato delle linee guida e ha dichiarato di voler eliminare gradualmente l'utilizzo di RC4. Ha inoltre delineato misure come l'utilizzo di account di servizio gestiti di gruppo (gMSA) o account di servizio gestiti delegati (dMSA), l'audit degli account con SPN, l'aggiornamento degli algoritmi di crittografia dei ticket e l'impostazione di password complesse generate casualmente per gli account privilegiati. Microsoft ha inoltre comunicato che i nuovi domini Active Directory che utilizzano Windows Server 2025 avranno RC4 disabilitato per impostazione predefinita a partire dal primo trimestre del 2026.

    • Accuse normative e politiche

    • La critica del senatore Wyden va oltre una singola violazione. Nella sua lettera di quattro pagine al presidente della FTC, Andrew Ferguson, inquadra Microsoft come affetta da un problema sistemico: una "cultura di negligenza nella sicurezza informatica" aggravata dal suo quasi monopolio sui sistemi operativi aziendali. Wyden usa un linguaggio metaforico tagliente, definendo Microsoft simile a "un piromane che vende servizi antincendio alle proprie vittime".
    • La lettera afferma che le configurazioni predefinite di Microsoft (ovvero l'abilitazione di una crittografia legacy e non sicura per impostazione predefinita e policy per le password flessibili) hanno nel tempo indebolito le protezioni di base in molte organizzazioni, in particolare quelle operanti nel settore sanitario e delle infrastrutture critiche. L'idea è che la negligenza nelle impostazioni predefinite e nella configurazione non sia solo un problema IT, ma una preoccupazione per la sicurezza nazionale.

    La risposta di Microsoft

    • Riconoscimento del fatto che RC4 è obsoleto e che Microsoft ne sconsiglia l'utilizzo "nella progettazione del nostro software e nella documentazione per i clienti". L'azienda afferma che meno dello 0,1% del suo traffico utilizza ancora RC4. Tuttavia, Microsoft esprime anche preoccupazione per il fatto che la disattivazione completa e immediata di RC4 potrebbe causare problemi di compatibilità con gli ambienti esistenti.
  • Microsoft si è impegnata a eliminare gradualmente il supporto RC4, continuando a fornire avvisi e indicazioni rigorose ai clienti. Inoltre, Microsoft sottolinea che i nuovi domini AD in Windows Server 2025 disattiveranno, per impostazione predefinita, la crittografia RC4.

    • Valutazione del rischio per la sicurezza

    • Superficie di attacco e conseguenze a cascata: quando i fornitori di software consentono una crittografia debole per impostazione predefinita o policy di password deboli, offrono una "preda facile" agli aggressori. Anche gli amministratori di sistema più attenti alla sicurezza possono ereditare configurazioni che consentono RC4 o credenziali deboli, in particolare in ambienti in cui la continuità e la compatibilità con le versioni precedenti sono molto apprezzate.
    • Sfruttamento delle vulnerabilità: gli attacchi Kerberoasting non sono speculativi; sono noti, documentati e sono stati utilizzati con successo in molteplici casi di violazione. Una volta compromesse le credenziali degli account di servizio, gli aggressori possono muoversi lateralmente, aumentare i privilegi e accedere a risorse sensibili. In ambito sanitario, ciò può includere dati sanitari personali, dispositivi medici IoT e infrastrutture critiche.
    • Implicazioni normative e di fiducia: poiché Microsoft è profondamente radicata in molte infrastrutture critiche e ambienti aziendali, eventuali errori nella configurazione della sicurezza predefinita spostano automaticamente l'onere della difesa su organizzazioni che potrebbero non disporre delle competenze, delle risorse o della visibilità necessarie per rilevare tali debolezze. Il danno reputazionale e il rischio di responsabilità sono sostanziali.

    Implicazioni normative

    • L'accusa del senatore Wyden solleva importanti interrogativi sulla responsabilità del prodotto , sulle impostazioni di sicurezza predefinite e sulla responsabilità del fornitore . In che misura i fornitori di software dovrebbero essere ritenuti responsabili per impostazioni predefinite non sicure?
    • Strumenti normativi come l'autorità della FTC di indagare su "atti o pratiche sleali o ingannevoli" potrebbero essere applicati alla negligenza in materia di sicurezza del software. Se Microsoft venisse ritenuta negligente, ciò potrebbe creare un precedente per la regolamentazione delle configurazioni predefinite, degli standard di crittografia e dei requisiti delle password nei software più diffusi.
    • Esiste anche una questione normativa più ampia: sicurezza di default vs. sicurezza opzionale . La posizione di Wyden implica che le impostazioni predefinite dovrebbero privilegiare la sicurezza, con password più robuste, l'eliminazione di algoritmi crittografici deboli e configurazioni sicure integrate, non come opzioni opzionali.
  • La lettera del senatore Wyden alla FTC evidenzia una convergenza di sicurezza informatica, regolamentazione e responsabilità aziendale. La violazione di Ascension è più di un singolo incidente; serve da caso di studio su come impostazioni predefinite del software ampiamente diffuse, standard di crittografia deboli e compatibilità legacy possano combinarsi per scatenare attacchi su larga scala a infrastrutture critiche.

    • La lettera del senatore Wyden alla FTC evidenzia una convergenza di sicurezza informatica, regolamentazione e responsabilità aziendale. La violazione di Ascension è più di un singolo incidente; serve da caso di studio su come impostazioni predefinite del software ampiamente diffuse, standard di crittografia deboli e compatibilità legacy possano combinarsi per scatenare attacchi su larga scala a infrastrutture critiche.

    Mentre Microsoft inizia a eliminare gradualmente i cifrari non sicuri e a pubblicare linee guida, la domanda centrale rimane se i meccanismi normativi richiederanno cambiamenti più rapidi, applicheranno impostazioni predefinite migliori e riterranno i fornitori responsabili per aver favorito i rischi. Questa questione merita un'attenta analisi, non solo da parte dei ricercatori di sicurezza, ma anche degli enti regolatori, dei clienti aziendali e del pubblico in generale.

    Caricamento in corso...