សម្រង់បញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
សុវត្ថិភាពកុំព្យូទ័រ សមាជិកព្រឹទ្ធសភា Wyden ជំរុញការស៊ើបអង្កេត FTC...

សមាជិកព្រឹទ្ធសភា Wyden ជំរុញការស៊ើបអង្កេត FTC ទៅលើក្រុមហ៊ុន Microsoft ជុំវិញភាពងាយរងគ្រោះ Ransomware

ដោយ Sandos ក្នុង សុវត្ថិភាពកុំព្យូទ័រ
បកប្រែទៅ៖

សមាជិកព្រឹទ្ធសភាអាមេរិក Ron Wyden បានអំពាវនាវជាផ្លូវការដល់គណៈកម្មការពាណិជ្ជកម្មសហព័ន្ធ (FTC) ឱ្យស៊ើបអង្កេតក្រុមហ៊ុន Microsoft សម្រាប់អ្វីដែលគាត់ពណ៌នាថាជា "ការធ្វេសប្រហែសផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតទាំងស្រុង" បន្ទាប់ពីការវាយប្រហារ ransomware លើអ្នកផ្តល់សេវាថែទាំសុខភាព Ascension ។ ការព្រួយបារម្ភរបស់សមាជិកព្រឹទ្ធសភាផ្តោតលើរបៀបដែលការកំណត់រចនាសម្ព័ន្ធកម្មវិធីលំនាំដើមរបស់ Microsoft ត្រូវបានគេចោទប្រកាន់ថាបានលាតត្រដាងបណ្តាញហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗដើម្បីវាយប្រហារ។

គន្លឹះ៖ ការរំលោភលើការឡើងភ្នំ និងភាពងាយរងគ្រោះផ្នែកបច្ចេកទេស

  • ទិដ្ឋភាពទូទៅនៃឧប្បត្តិហេតុ៖ កាលពីឆ្នាំមុន Ascension ដែលជាប្រព័ន្ធថែទាំសុខភាពដ៏សំខាន់មួយត្រូវបានវាយប្រហារដោយការវាយប្រហារដោយ ransomware ដែលធ្វើឡើងដោយក្រុមដែលគេស្គាល់ថា Black Basta ដែលប៉ះពាល់ដល់ បុគ្គលជិត 5.6 លាននាក់ ។ ការបំពាននេះពាក់ព័ន្ធនឹងការលួចទិន្នន័យ ក៏ដូចជាការរំខានដល់កំណត់ត្រាសុខភាពអេឡិចត្រូនិក។
  • វ៉ិចទ័រដំបូង៖ អ្នកម៉ៅការដែលធ្វើការឱ្យ Ascension បានចុចលើតំណភ្ជាប់ព្យាបាទដែលបានរកឃើញតាមរយៈម៉ាស៊ីនស្វែងរក Bing របស់ Microsoft ។ ការចុចនេះបានកំណត់នូវប្រតិកម្មខ្សែសង្វាក់ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារទាញយកលំនាំដើមដែលមិនមានសុវត្ថិភាពនៅក្នុងកម្មវិធី Microsoft ។
  • ភាពទន់ខ្សោយកម្មវិធីលំនាំដើម៖ យោងតាមលិខិតរបស់សមាជិកព្រឹទ្ធសភា កម្មវិធីរបស់ Microsoft រួមបញ្ចូលការកំណត់លំនាំដើមដែលមិនមានសុវត្ថិភាពប្រកបដោយគ្រោះថ្នាក់។ បញ្ហាសំខាន់មួយគឺការគាំទ្រសម្រាប់ ការអ៊ិនគ្រីប RC4 នៅក្នុងពិធីការផ្ទៀងផ្ទាត់ Kerberos ។ RC4 គឺជាកូដសម្ងាត់កេរ្តិ៍ដំណែលដែលត្រូវបានចាត់ទុកថាគ្មានសុវត្ថិភាពដោយការស្រាវជ្រាវគ្រីបគ្រីប។ ទោះបីជាត្រូវបានបដិសេធនៅក្នុងប្រព័ន្ធទំនើបជាច្រើនក៏ដោយ នៅក្នុងករណីរបស់ Microsoft វានៅតែបើកដំណើរការតាមលំនាំដើម។ នេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារប្រើបច្ចេកទេសដែលគេស្គាល់ថាជា Kerberoasting ដើម្បីទាញយកព័ត៌មានសម្ងាត់គណនីសេវាកម្មពី Active Directory ។

លក្ខណៈបច្ចេកទេស៖ Kerberoasting, Default Ciphers, និងចំនុចខ្សោយដែលអាចកេងប្រវ័ញ្ចបាន

  • Kerberoasting ពន្យល់៖ នៅក្នុងបរិយាកាស Active Directory គណនីសេវាកម្មដែលមានឈ្មោះសេវាកម្ម (SPNs) ស្នើសុំសំបុត្រ Kerberos ។ ប្រសិនបើសំបុត្រទាំងនោះត្រូវបានអ៊ិនគ្រីបដោយប្រើអក្សរសម្ងាត់ខ្សោយដូចជា RC4 អ្នកវាយប្រហារអាចទទួលបានសំបុត្រនោះ បន្ទាប់មកធ្វើការវាយលុកក្រៅបណ្តាញ (ឧទាហរណ៍ brute force ឬ cryptanalysis) ដើម្បីយកមកវិញនូវព័ត៌មានសម្ងាត់ ឬព័ត៌មានសម្ងាត់របស់គណនីសេវាកម្ម។ ក្នុងករណីនេះ ការិយាល័យរបស់ Wyden អះអាងថា ការបំពានបានប្រើប្រាស់សំបុត្រការពារ RC4 ទាំងនេះ។
  • RC4 Matters: RC4 (Rivest Cipher 4) ដែលជាស្ទ្រីម cipher ដែលត្រូវបានបង្កើតឡើងនៅចុងទសវត្សរ៍ឆ្នាំ 1980 ត្រូវបានគេស្គាល់ជាច្រើនទសវត្សរ៍មកហើយថាមានភាពងាយរងគ្រោះ - ភាពលំអៀងនៅក្នុងចរន្តគន្លឹះរបស់វា និងភាពងាយនឹងស្តារអត្ថបទធម្មតាឡើងវិញ។ ស្ថាប័នស្តង់ដារ (ឧទាហរណ៍ IETF) បានហាមឃាត់ការប្រើប្រាស់របស់វានៅក្នុងបណ្តាញសុវត្ថិភាព ជាពិសេស TLS ចាប់តាំងពីពាក់កណ្តាលទសវត្សរ៍ឆ្នាំ 2010 ដោយសារតែគុណវិបត្តិទាំងនោះ។ ក្រុមហ៊ុន Microsoft នៅតែរួមបញ្ចូលការគាំទ្រសម្រាប់ RC4 នៅក្នុង Kerberos តាមលំនាំដើម ដែល Wyden ចែងថា "មិនចាំបាច់លាតត្រដាង" អតិថិជននៅពេលដែលពាក្យសម្ងាត់ខ្សោយកំពុងប្រើប្រាស់។
  • ភាពខ្លាំងនៃពាក្យសម្ងាត់ និងគណនីសេវាកម្ម៖ សមាជិកព្រឹទ្ធសភាក៏គូសបញ្ជាក់ផងដែរថា Microsoft មិនអនុវត្តគោលការណ៍ពាក្យសម្ងាត់ខ្លាំង (ឧទាហរណ៍ កម្រិតអប្បបរមា 14 តួអក្សរ ពាក្យសម្ងាត់ដែលបានបង្កើតដោយចៃដន្យ) សម្រាប់គណនីសេវាកម្ម ហើយក៏មិនតម្រូវឱ្យមានការប្រើប្រាស់លេខកូដសម្ងាត់ដែលខ្លាំងជាងមុន (AES-128 ឬ AES-256) សម្រាប់ការអ៊ិនគ្រីបសំបុត្រសេវា Kerberos នៅពេលដែល SPNs ត្រូវបានពាក់ព័ន្ធ។ គោលការណ៍ខ្សោយទាំងនេះ រួមផ្សំជាមួយនឹងការអ៊ិនគ្រីបលំនាំដើមខ្សោយ ពង្រីកហានិភ័យនៃការសម្របសម្រួលព័ត៌មានសម្ងាត់។
  • ការកាត់បន្ថយក្រុមហ៊ុន Microsoft ផ្តល់អនុសាសន៍៖ ជាការឆ្លើយតបទៅនឹងលិខិតរបស់ Wyden ក្រុមហ៊ុន Microsoft បានបោះពុម្ពផ្សាយការណែនាំ ហើយបាននិយាយថា ខ្លួនគ្រោងនឹងបញ្ឈប់ការប្រើប្រាស់ RC4 ។ វាក៏បានគូសបញ្ជាក់អំពីជំហានមួយចំនួនដូចជា ការប្រើប្រាស់គណនីសេវាកម្មគ្រប់គ្រងក្រុម (gMSA) ឬគណនីសេវាគ្រប់គ្រងដែលត្រូវបានផ្ទេរសិទ្ធិ (dMSA) ការធ្វើសវនកម្មគណនីជាមួយ SPNs ការធ្វើបច្ចុប្បន្នភាពក្បួនដោះស្រាយការអ៊ិនគ្រីបសំបុត្រ និងការកំណត់ពាក្យសម្ងាត់ដែលបង្កើតដោយចៃដន្យដ៏រឹងមាំសម្រាប់គណនីដែលមានសិទ្ធិ។ ក្រុមហ៊ុន Microsoft បានបង្ហាញបន្ថែមទៀតថាដែន Active Directory ថ្មីដែលប្រើប្រាស់ Windows Server 2025 នឹងត្រូវបិទ RC4 តាមលំនាំដើមដែលចាប់ផ្តើមនៅក្នុង Q1 នៃឆ្នាំ 2026។

    • ការចោទប្រកាន់បទប្បញ្ញត្តិ និងគោលនយោបាយ

    • ការរិះគន់របស់សមាជិកព្រឹទ្ធសភា Wyden លើសពីការបំពានឯកវចនៈ។ នៅក្នុងលិខិតចំនួនបួនទំព័ររបស់គាត់ទៅកាន់ប្រធាន FTC លោក Andrew Ferguson គាត់បានដាក់ស៊ុមថាក្រុមហ៊ុន Microsoft មានបញ្ហាជាប្រព័ន្ធ៖ "វប្បធម៌នៃសុវត្ថិភាពតាមអ៊ីនធឺណិតដែលធ្វេសប្រហែស" ដែលត្រូវបានបន្ថែមដោយការផ្តាច់មុខរបស់ខ្លួនលើប្រព័ន្ធប្រតិបត្តិការសហគ្រាស។ Wyden ប្រើភាសាប្រៀបធៀបយ៉ាងមុតស្រួច ដោយហៅក្រុមហ៊ុន Microsoft ស្រដៀងទៅនឹង "អ្នកដុតភ្លើងដែលលក់សេវាកម្មពន្លត់អគ្គីភ័យដល់ជនរងគ្រោះរបស់ពួកគេ"។
    • លិខិតនេះអះអាងថា ការកំណត់រចនាសម្ព័ន្ធលំនាំដើមរបស់ Microsoft (ឧ. ការបើកដំណើរការកេរ្តិ៍ដំណែល ការអ៊ិនគ្រីបមិនមានសុវត្ថិភាពតាមលំនាំដើម គោលការណ៍ពាក្យសម្ងាត់ដែលមានភាពធូរស្រាល) បានធ្វើឱ្យការការពារមូលដ្ឋាននៅទូទាំងស្ថាប័នជាច្រើន ជាពិសេសផ្នែកថែទាំសុខភាព និងហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ។ ការផ្តល់យោបល់គឺថាការធ្វេសប្រហែសក្នុងលំនាំដើម និងការកំណត់រចនាសម្ព័ន្ធមិនមែនគ្រាន់តែជាបញ្ហាព័ត៌មានវិទ្យាប៉ុណ្ណោះទេ ប៉ុន្តែជាកង្វល់សន្តិសុខជាតិ។

    ការឆ្លើយតបរបស់ Microsoft

    • ការទទួលស្គាល់ថា RC4 មានភាពចាស់ទុំ ហើយថា Microsoft បង្អាក់ការប្រើប្រាស់របស់វា "នៅក្នុងរបៀបដែលយើងវិស្វកម្មកម្មវិធីរបស់យើង និងនៅក្នុងឯកសាររបស់យើងដល់អតិថិជន។" ក្រុមហ៊ុនអះអាងថាតិចជាង 0.1% នៃចរាចរណ៍របស់ខ្លួននៅតែប្រើ RC4 ។ ទោះយ៉ាងណាក៏ដោយ ក្រុមហ៊ុន Microsoft ក៏បង្ហាញការព្រួយបារម្ភផងដែរថាការបិទ RC4 ទាំងស្រុងភ្លាមៗអាចបណ្តាលឱ្យមានបញ្ហាភាពឆបគ្នាជាមួយបរិស្ថានដែលមានស្រាប់។
  • ក្រុមហ៊ុន Microsoft បានប្តេជ្ញាចិត្តក្នុងការលុបបំបាត់ការគាំទ្រ RC4 បន្តិចម្តងៗ ខណៈពេលដែលបន្តផ្តល់ការព្រមាន និងការណែនាំដ៏រឹងមាំដល់អតិថិជន។ លើសពីនេះទៀត Microsoft កត់សម្គាល់ថាដែន AD ថ្មីនៅក្នុង Windows Server 2025 នឹងបិទការអ៊ិនគ្រីប RC4 តាមលំនាំដើម។

    • ការវាយតម្លៃហានិភ័យសុវត្ថិភាព

    • ការវាយប្រហារលើផ្ទៃ និងផលវិបាក៖ នៅពេលដែលអ្នកលក់កម្មវិធីអនុញ្ញាតឱ្យមានការអ៊ិនគ្រីបខ្សោយតាមលំនាំដើម ឬគោលការណ៍ពាក្យសម្ងាត់ខ្សោយ ពួកគេផ្តល់ "ការជ្រើសរើសងាយស្រួល" ដល់អ្នកវាយប្រហារ។ សូម្បីតែអ្នកគ្រប់គ្រងប្រព័ន្ធដែលដឹងពីសុវត្ថិភាពក៏អាចទទួលមរតកនូវការកំណត់ដែលអនុញ្ញាតឱ្យ RC4 ឬអនុញ្ញាតឱ្យមានព័ត៌មានសម្ងាត់ខ្សោយ ជាពិសេសនៅក្នុងបរិស្ថានដែលភាពត្រូវគ្នាជាបន្ត និងកេរ្តិ៍ដំណែលមានតម្លៃយ៉ាងខ្លាំង។
    • ការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះ៖ ការវាយប្រហារ Kerberoasting មិនមែនជាការប៉ាន់ស្មានទេ។ ពួកគេត្រូវបានគេស្គាល់ ចងក្រងជាឯកសារ និងត្រូវបានប្រើប្រាស់ដោយជោគជ័យក្នុងឧប្បត្តិហេតុរំលោភបំពានជាច្រើន។ នៅពេលដែលព័ត៌មានសម្ងាត់គណនីសេវាកម្មត្រូវបានសម្របសម្រួល អ្នកវាយប្រហារអាចផ្លាស់ទីនៅពេលក្រោយ បង្កើនសិទ្ធិ និងចូលប្រើទ្រព្យសម្បត្តិរសើប។ នៅក្នុងការកំណត់ថែទាំសុខភាព ដែលអាចរួមបញ្ចូលទិន្នន័យសុខភាពផ្ទាល់ខ្លួន ឧបករណ៍វេជ្ជសាស្ត្រ IoT និងហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ។
    • បទប្បញ្ញត្តិ និងផលប៉ះពាល់នៃការជឿទុកចិត្ត៖ ដោយសារ Microsoft ត្រូវបានបង្កប់យ៉ាងជ្រៅនៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ និងបរិស្ថានសហគ្រាស ការបរាជ័យក្នុងការកំណត់រចនាសម្ព័ន្ធសុវត្ថិភាពតាមលំនាំដើមនឹងផ្លាស់ប្តូរបន្ទុកការពារដោយស្វ័យប្រវត្តិទៅឱ្យអង្គការដែលអាចខ្វះជំនាញ ធនធាន ឬលទ្ធភាពមើលឃើញដើម្បីរកឱ្យឃើញចំណុចខ្សោយបែបនេះ។ ហានិភ័យនៃការខូចខាតកេរ្តិ៍ឈ្មោះ និងការទទួលខុសត្រូវមានច្រើនណាស់។

    ផលប៉ះពាល់បទប្បញ្ញត្តិ

    • ការចោទប្រកាន់ដោយសមាជិកព្រឹទ្ធសភា Wyden ចោទជាសំណួរសំខាន់ៗអំពី ការទទួលខុសត្រូវផលិតផល ការកំណត់សុវត្ថិភាពលំនាំដើម និង ការទទួលខុសត្រូវរបស់អ្នកលក់ ។ តើ​អ្នក​លក់​កម្មវិធី​គួរ​ទទួល​ខុស​ត្រូវ​ដល់​កម្រិត​ណា​ចំពោះ​កំហុស​មិន​មាន​សុវត្ថិភាព?
    • ឧបករណ៍និយតកម្ម ដូចជាសិទ្ធិអំណាចរបស់ FTC ក្នុងការស៊ើបអង្កេត "ទង្វើ ឬការអនុវត្តមិនយុត្តិធម៌ ឬបោកបញ្ឆោត" អាចត្រូវបានអនុវត្តចំពោះការធ្វេសប្រហែសផ្នែកសុវត្ថិភាពកម្មវិធី។ ប្រសិនបើ Microsoft ត្រូវបានគេរកឃើញថាមានការធ្វេសប្រហែស នេះអាចកំណត់ជាគំរូមួយសម្រាប់របៀបដែលការកំណត់លំនាំដើម ស្តង់ដារការអ៊ិនគ្រីប និងតម្រូវការពាក្យសម្ងាត់ត្រូវបានគ្រប់គ្រងនៅក្នុងកម្មវិធីដែលប្រើយ៉ាងទូលំទូលាយ។
    • វាក៏មានបញ្ហាស្តង់ដារទូលំទូលាយផងដែរ៖ សុវត្ថិភាពតាមលំនាំដើម ធៀបនឹង ជម្រើសសុវត្ថិភាពតាមជម្រើស ។ ទីតាំងរបស់ Wyden បង្កប់ន័យថា លំនាំដើមគួរមានកំហុសនៅផ្នែកខាងសុវត្ថិភាព ដោយមានកម្លាំងពាក្យសម្ងាត់ខ្ពស់ជាង ការបដិសេធនៃក្បួនដោះស្រាយគ្រីបគ្រីបខ្សោយ និងការកំណត់រចនាសម្ព័ន្ធសុវត្ថិភាពដែលបានបញ្ចូលក្នុង - មិនមែនជាជម្រើសបិទបើកទេ។
  • លិខិតរបស់សមាជិកព្រឹទ្ធសភា Wyden ទៅកាន់ FTC បង្ហាញពីចំណុចប្រសព្វនៃសន្តិសុខតាមអ៊ីនធឺណិត បទប្បញ្ញត្តិ និងគណនេយ្យភាពសាជីវកម្ម។ ការរំលោភលើឋានសួគ៌គឺច្រើនជាងឧប្បត្តិហេតុតែមួយ។ វាបម្រើជាករណីសិក្សាមួយអំពីរបៀបដែលកម្មវិធីលំនាំដើមនៃកម្មវិធីដែលបានប្រើយ៉ាងទូលំទូលាយ ស្តង់ដារការអ៊ិនគ្រីបខ្សោយ និងភាពឆបគ្នានៃកេរ្តិ៍ដំណែលអាចបញ្ចូលគ្នាដើម្បីទប់ស្កាត់ការវាយប្រហារទ្រង់ទ្រាយធំទៅលើហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ។

    • លិខិតរបស់សមាជិកព្រឹទ្ធសភា Wyden ទៅកាន់ FTC បង្ហាញពីចំណុចប្រសព្វនៃសន្តិសុខតាមអ៊ីនធឺណិត បទប្បញ្ញត្តិ និងគណនេយ្យភាពសាជីវកម្ម។ ការរំលោភលើឋានសួគ៌គឺច្រើនជាងឧប្បត្តិហេតុតែមួយ។ វាបម្រើជាករណីសិក្សាមួយអំពីរបៀបដែលកម្មវិធីលំនាំដើមនៃកម្មវិធីដែលបានប្រើយ៉ាងទូលំទូលាយ ស្តង់ដារការអ៊ិនគ្រីបខ្សោយ និងភាពឆបគ្នានៃកេរ្តិ៍ដំណែលអាចបញ្ចូលគ្នាដើម្បីទប់ស្កាត់ការវាយប្រហារទ្រង់ទ្រាយធំទៅលើហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ។

    នៅពេលដែលក្រុមហ៊ុន Microsoft ចាប់ផ្តើមលុបចោលការសរសេរកូដដែលមិនមានសុវត្ថិភាព និងបោះពុម្ពផ្សាយការណែនាំ សំណួរកណ្តាលនៅតែមានថាតើយន្តការបទប្បញ្ញត្តិនឹងទាមទារការផ្លាស់ប្តូរលឿនជាងមុន អនុវត្តលំនាំដើមប្រសើរជាងមុន និងរក្សាអ្នកលក់ឱ្យទទួលខុសត្រូវចំពោះការបើកហានិភ័យ។ បញ្ហានេះសមនឹងការត្រួតពិនិត្យយ៉ាងជិតស្និទ្ធ—មិនត្រឹមតែពីអ្នកស្រាវជ្រាវសន្តិសុខប៉ុណ្ណោះទេ ប៉ុន្តែមកពីនិយតករ អតិថិជនសហគ្រាស និងសាធារណៈជនយ៉ាងច្រើន។

    កំពុង​ផ្ទុក...