Kelių licencijų nuolaidos pasiūlymas
Kompiuterių apsauga Senatorius Wydenas skatina FTC tyrimą dėl „Microsoft“...

Senatorius Wydenas skatina FTC tyrimą dėl „Microsoft“ išpirkos reikalaujančių programų pažeidžiamumų

Autorius Sandos, Kompiuterių apsauga
Versti į:

JAV senatorius Ronas Wydenas oficialiai paragino Federalinę prekybos komisiją (FTC) ištirti „Microsoft“ dėl to, ką jis apibūdina kaip „didelį kibernetinio saugumo aplaidumą“ po išpirkos reikalaujančios programinės įrangos atakos prieš sveikatos priežiūros paslaugų teikėją „Ascension“. Senatoriaus susirūpinimas sutelktas į tai, kaip numatytosios „Microsoft“ programinės įrangos konfigūracijos tariamai aptiko kritinės infrastruktūros tinklus atakoms.

Sukėlėjas: „Ascension“ įsilaužimas ir techniniai pažeidžiamumai

  • Incidento apžvalga: Praėjusiais metais „Ascension“, didelė sveikatos priežiūros sistema, nukentėjo nuo išpirkos reikalaujančios programinės įrangos atakos, kurią įvykdė grupuotė „Black Basta“ . Nuo šios atakos nukentėjo beveik 5,6 mln. žmonių . Įsilaužimo metu buvo vagystė duomenys ir sutrikdyti elektroniniai sveikatos įrašai.
  • Pradinis vektorius: „Ascension“ dirbantis rangovas spustelėjo kenkėjišką nuorodą, rastą per „Microsoft“ paieškos sistemą „Bing“. Šis paspaudimas sukėlė grandinines reakcijas, kurios leido užpuolikams išnaudoti nesaugias „Microsoft“ programinės įrangos numatytąsias reikšmes.
  • Numatytosios programinės įrangos silpnybė: Senatoriaus laiške teigiama, kad „Microsoft“ programinėje įrangoje yra pavojingai nesaugių numatytųjų nustatymų. Viena pagrindinių problemų yra RC4 šifravimo palaikymas „Kerberos“ autentifikavimo protokole. RC4 yra pasenęs šifras, kurį kriptografiniai tyrimai laiko nesaugiu. Nors daugelyje šiuolaikinių sistemų jis nebenaudojamas, „Microsoft“ atveju jis pagal numatytuosius nustatymus liko įjungtas. Tai leido užpuolikams naudoti techniką, vadinamą „Kerberoasting“ , kad išgautų paslaugos paskyros kredencialus iš „Active Directory“.

Techninės specifikacijos: Kerberoasting, numatytieji šifrai ir pažeidžiamumai, kuriuos galima išnaudoti

  • „Kerberos“ šifravimo paaiškinimas: „Active Directory“ aplinkoje paslaugų paskyros su pagrindiniais paslaugų pavadinimais (SPN) prašo „Kerberos“ užklausų. Jei šios užklausos yra užšifruotos naudojant silpnus šifrus, pvz., RC4, užpuolikas gali gauti užklausą ir atlikti neprisijungus vykdomas atakas (pvz., brutalios jėgos arba kriptoanalizės būdu), kad atkurtų paslaugos paskyros paprasto teksto kredencialus arba paslaptis. Šiuo atveju Wydeno biuras teigia, kad įsilaužimas buvo atliktas naudojant šiuos RC4 apsaugotus užklausas.
  • RC4 svarbu: RC4 („Rivest Cipher 4“), srautinis šifras, sukurtas devintojo dešimtmečio pabaigoje, jau dešimtmečius žinomas dėl savo pažeidžiamumų – raktų srauto paklaidų ir jautrumo paprasto teksto atkūrimui. Standartų institucijos (pvz., IETF) nuo 2010-ųjų vidurio uždraudė jį naudoti saugiuose kanaluose, ypač TLS, dėl šių trūkumų. „Microsoft“ vis dar pagal numatytuosius nustatymus įtraukė RC4 palaikymą į „Kerberos“, kuris, pasak Wydeno, „be reikalo atskleidžia“ klientams pažeidžiamumą, kai naudojami silpni slaptažodžiai.
  • Slaptažodžio stiprumas ir paslaugų paskyros: Senatorius taip pat pabrėžia, kad „Microsoft“ netaiko stiprių slaptažodžių politikos (pvz., mažiausiai 14 simbolių, atsitiktinai sugeneruotų slaptažodžių) paslaugų paskyroms ir nereikalauja naudoti stipresnių šifravimo šifrų (AES-128 arba AES-256) „Kerberos“ paslaugų bilietų šifravimui, kai naudojami SPN. Šios silpnos politikos kartu su silpnu numatytuoju šifravimu padidina kredencialų pažeidimo riziką.
  • „Microsoft“ rekomenduojami švelninimo būdai: Atsakydama į Wydeno laišką, „Microsoft“ paskelbė gaires ir pareiškė, kad planuoja palaipsniui atsisakyti RC4 naudojimo. Jose taip pat nurodyti tokie veiksmai kaip grupės valdomų paslaugų paskyrų (gMSA) arba deleguotų valdomų paslaugų paskyrų (dMSA) naudojimas, paskyrų su SPN auditas, bilietų šifravimo algoritmų atnaujinimas ir stiprių, atsitiktinai sugeneruotų slaptažodžių nustatymas privilegijuotoms paskyroms. „Microsoft“ taip pat atskleidė, kad naujuose „Active Directory“ domenuose, naudojančiuose „Windows Server 2025“, nuo 2026 m. pirmojo ketvirčio RC4 bus išjungtas pagal numatytuosius nustatymus.

    • Įtarimai dėl reguliavimo ir politikos

    • Senatoriaus Wydeno kritika neapsiriboja pavieniu pažeidimu. Keturių puslapių laiške FTC pirmininkui Andrew Fergusonui jis apibūdina „Microsoft“ kaip turinčią sisteminę problemą: „aplaidaus kibernetinio saugumo kultūrą“, kurią dar labiau sustiprina beveik monopolija įmonių operacinių sistemų srityje. Wydenas vartoja aštrią metaforinę kalbą, pavadindamas „Microsoft“ panašia į „padegėją, parduodantį gaisrų gesinimo paslaugas savo aukoms“.
    • Laiške teigiama, kad numatytosios „Microsoft“ konfigūracijos (t. y. senesnių sistemų įjungimas, nesaukus šifravimas pagal numatytuosius nustatymus, švelni slaptažodžių politika) laikui bėgant susilpnino daugelio organizacijų, ypač sveikatos priežiūros ir ypatingos svarbos infrastruktūros, bazinę apsaugą. Teigiama, kad aplaidumas nustatant numatytuosius nustatymus ir konfigūraciją yra ne tik IT problema, bet ir nacionalinio saugumo problema.

    „Microsoft“ atsakymas

    • Pripažįstama, kad RC4 yra pasenęs ir kad „Microsoft“ neskatina jo naudoti „programinės įrangos kūrime ir klientams skirtoje dokumentacijoje“. Bendrovė teigia, kad mažiau nei 0,1 % jos srauto vis dar naudoja RC4. Tačiau „Microsoft“ taip pat reiškia susirūpinimą, kad nedelsiant visiškai išjungus RC4 gali kilti suderinamumo problemų su esamomis aplinkomis.
  • „Microsoft“ įsipareigojo palaipsniui nutraukti RC4 palaikymą, kartu toliau teikdama griežtus įspėjimus ir nurodymus klientams. Be to, „Microsoft“ pažymi, kad naujuose AD domenuose „Windows Server 2025“ pagal numatytuosius nustatymus bus išjungtas RC4 šifravimas.

    • Saugumo rizikos vertinimas

    • Atakos paviršius ir kaskadinės pasekmės: Kai programinės įrangos tiekėjai pagal numatytuosius nustatymus leidžia naudoti silpną šifravimą arba silpnų slaptažodžių politiką, jie suteikia užpuolikams „lengvą pasirinkimą“. Net ir saugumo požiūriu sąmoningi sistemų administratoriai gali paveldėti konfigūracijas, kurios leidžia RC4 arba leidžia silpnus prisijungimo duomenis, ypač aplinkose, kuriose labai vertinamas tęstinumas ir suderinamumas su senosiomis programomis.
    • Pažeidžiamumų išnaudojimas: „Kerberoasting“ atakos nėra spekuliatyvios; jos yra žinomos, dokumentuotos ir sėkmingai panaudotos keliuose įsilaužimo incidentuose. Kai paslaugos paskyros kredencialai pažeidžiami, užpuolikai gali judėti horizontaliai, didinti privilegijas ir pasiekti neskelbtinus išteklius. Sveikatos priežiūros įstaigose tai gali apimti asmens sveikatos duomenis, daiktų interneto medicinos prietaisus ir ypatingos svarbos infrastruktūrą.
    • Reguliavimo ir pasitikėjimo pasekmės: Kadangi „Microsoft“ yra giliai įsitvirtinusi daugelyje svarbių infrastruktūrų ir įmonių aplinkų, nesėkmingi numatytojo saugumo konfigūravimo veiksmai automatiškai perkelia gynybos naštą organizacijoms, kurioms gali trūkti patirties, išteklių ar matomumo tokiems trūkumams aptikti. Žala reputacijai ir atsakomybės rizika yra didelė.

    Reguliavimo pasekmės

    • Senatoriaus Wydeno kaltinimas kelia svarbių klausimų dėl atsakomybės už produktą , numatytųjų saugių nustatymų ir tiekėjo atsakomybės . Kokiu mastu programinės įrangos tiekėjai turėtų būti atsakingi už nesaugius numatytuosius nustatymus?
    • Reguliavimo priemonės, tokios kaip FTC įgaliojimai tirti „nesąžiningus ar apgaulingus veiksmus ar praktiką“, gali būti taikomos programinės įrangos saugumo aplaidumo atveju. Jei bus nustatyta, kad „Microsoft“ buvo aplaidi, tai gali sukurti precedentą, kaip plačiai naudojamoje programinėje įrangoje reguliuojamos numatytosios konfigūracijos, šifravimo standartai ir slaptažodžių reikalavimai.
    • Taip pat yra platesnis normatyvinis klausimas: saugu pagal numatytuosius nustatymus ir saugu pagal parinktį . Wydeno pozicija reiškia, kad numatytieji nustatymai turėtų būti labiau saugumo pusėje, numatant didesnį slaptažodžio stiprumą, silpnų kriptografinių algoritmų atsisakymą ir integruotas saugias konfigūracijas, o ne kaip pasirenkamus perjungiklius.
  • Senatoriaus Wydeno laiške Federalinei prekybos komisijai (FTC) pabrėžiamas kibernetinio saugumo, reguliavimo ir įmonių atskaitomybės sąveikos aspektas. „Ascension“ įsilaužimas yra daugiau nei vienas incidentas; jis yra atvejo analizė, parodanti, kaip plačiai naudojami programinės įrangos numatytieji nustatymai, silpni šifravimo standartai ir senųjų sistemų suderinamumas gali kartu sukelti didelio masto išpuolius prieš ypatingos svarbos infrastruktūrą.

    • Senatoriaus Wydeno laiške Federalinei prekybos komisijai (FTC) pabrėžiamas kibernetinio saugumo, reguliavimo ir įmonių atskaitomybės sąveikos aspektas. „Ascension“ įsilaužimas yra daugiau nei vienas incidentas; jis yra atvejo analizė, parodanti, kaip plačiai naudojami programinės įrangos numatytieji nustatymai, silpni šifravimo standartai ir senųjų sistemų suderinamumas gali kartu sukelti didelio masto išpuolius prieš ypatingos svarbos infrastruktūrą.

    „Microsoft“ pradedant palaipsniui atsisakyti nesaugių šifrų ir skelbiant gaires, išlieka pagrindinis klausimas, ar reguliavimo mechanizmai reikalaus spartesnių pokyčių, užtikrins geresnius numatytuosius nustatymus ir laikys tiekėjus atsakingais už rizikos skatinimą. Šis klausimas nusipelno atidaus nagrinėjimo – ne tik saugumo tyrėjų, bet ir reguliavimo institucijų, verslo klientų bei plačiosios visuomenės.

    Įkeliama...