Vairāku licenču atlaides piedāvājums
Datoru drošība Senators Vaidens virza FTC izmeklēšanu par Microsoft...

Senators Vaidens virza FTC izmeklēšanu par Microsoft izspiedējvīrusu ievainojamībām

Līdz Sandos. gadam Datoru drošība. gadā
Tulkot uz:

ASV senators Rons Vaidens ir oficiāli aicinājis Federālo tirdzniecības komisiju (FTC) izmeklēt Microsoft par to, ko viņš raksturo kā "rupju kiberdrošības nolaidību" pēc izspiedējvīrusa uzbrukuma veselības aprūpes pakalpojumu sniedzējam Ascension. Senatora bažas galvenokārt rada tas, kā Microsoft noklusējuma programmatūras konfigurācijas it kā pakļāva kritiskās infrastruktūras tīklus uzbrukumiem.

Ierosinātājs: Ascension pārkāpums un tehniskās ievainojamības

  • Incidenta pārskats: Pagājušajā gadā Ascension, nozīmīga veselības aprūpes sistēma, cieta no izspiedējvīrusa uzbrukuma, ko veica grupa, kas pazīstama kā Black Basta , un tas skāra gandrīz 5,6 miljonus cilvēku . Pārkāpums ietvēra datu zādzību, kā arī elektronisko veselības ierakstu darbības traucējumus.
  • Sākotnējais vektors: Ascension strādājošs darbuzņēmējs noklikšķināja uz ļaunprātīgas saites, kas tika atklāta, izmantojot Microsoft Bing meklētājprogrammu. Šis klikšķis izraisīja ķēdes reakcijas, kas ļāva uzbrucējiem izmantot nedrošus Microsoft programmatūras noklusējuma iestatījumus.
  • Noklusējuma programmatūras vājums: Saskaņā ar senatora vēstuli Microsoft programmatūra ietver bīstami nedrošus noklusējuma iestatījumus. Viena no galvenajām problēmām ir RC4 šifrēšanas atbalsts Kerberos autentifikācijas protokolā. RC4 ir mantota šifrēšana, ko kriptogrāfiskie pētījumi uzskata par nedrošu. Lai gan daudzās mūsdienu sistēmās tas ir novecojis, Microsoft gadījumā tas pēc noklusējuma palika iespējots. Tas ļāva uzbrucējiem izmantot metodi, kas pazīstama kā Kerberoasting , lai iegūtu pakalpojuma konta akreditācijas datus no Active Directory.

Tehniskā specifikācija: Kerberoasting, noklusējuma šifri un izmantojamās vājības

  • Kerberostēšanas skaidrojums: Active Directory vidē pakalpojumu konti ar pakalpojumu galvenajiem nosaukumiem (SPN) pieprasa Kerberos biļetes. Ja šīs biļetes ir šifrētas, izmantojot vājus šifrus, piemēram, RC4, uzbrucējs var iegūt biļeti un pēc tam veikt bezsaistes uzbrukumus (piemēram, brutālu spēku vai kriptoanalīzi), lai atgūtu pakalpojuma konta vienkāršā teksta akreditācijas datus vai noslēpumus. Šajā gadījumā Vaidena birojs apgalvo, ka pārkāpumā tika izmantotas šīs ar RC4 aizsargātās biļetes.
  • RC4 nozīme: RC4 (Rivest Cipher 4), straumes šifrs, kas tika izstrādāts 20. gs. astoņdesmito gadu beigās, jau gadu desmitiem ir zināms par ievainojamībām — atslēgu plūsmas neobjektivitāti un uzņēmību pret vienkārša teksta atkopšanu. Standartu institūcijas (piemēram, IETF) kopš 2010. gadu vidus ir aizliegušas tā izmantošanu drošos kanālos, īpaši TLS, šo trūkumu dēļ. Microsoft joprojām pēc noklusējuma ietvēra RC4 atbalstu Kerberos, kas, pēc Vaidena teiktā, "nevajadzīgi pakļauj" klientus riskam, ja tiek izmantotas vājas paroles.
  • Paroles stiprums un pakalpojumu konti: Senators arī uzsver, ka Microsoft neievieš spēcīgas paroles politikas (piemēram, vismaz 14 rakstzīmes, nejauši ģenerētas paroles) pakalpojumu kontiem, kā arī neprasa izmantot spēcīgākus šifrēšanas šifrus (AES-128 vai AES-256) Kerberos pakalpojumu biļešu šifrēšanai, ja ir iesaistīti SPN. Šīs vājās politikas apvienojumā ar vāju noklusējuma šifrēšanu palielina akreditācijas datu kompromitēšanas risku.
  • Microsoft ieteiktie mazināšanas pasākumi: Atbildot uz Vaidena vēstuli, Microsoft ir publicējis vadlīnijas un paziņojis, ka plāno pakāpeniski pārtraukt RC4 lietošanu. Tajā ir arī izklāstīti tādi pasākumi kā grupas pārvaldīto pakalpojumu kontu (gMSA) vai deleģēto pārvaldīto pakalpojumu kontu (dMSA) izmantošana, kontu ar SPN auditēšana, biļešu šifrēšanas algoritmu atjaunināšana un spēcīgu, nejauši ģenerētu paroļu iestatīšana privileģētiem kontiem. Microsoft arī atklāja, ka jauniem Active Directory domēniem, kas izmanto Windows Server 2025, RC4 pēc noklusējuma tiks atspējots, sākot ar 2026. gada 1. ceturksni.

    • Apsūdzības par normatīvajiem un politikas pārkāpumiem

    • Senatora Vaidena kritika sniedzas tālāk par atsevišķu pārkāpumu. Savā četru lappušu garajā vēstulē FTC priekšsēdētājam Endrjū Fergusonam viņš raksturo Microsoft kā tādu, kam ir sistēmiska problēma: "nolaidīgas kiberdrošības kultūra", ko pastiprina tā gandrīz monopols pār uzņēmumu operētājsistēmām. Vaidens izmanto asu metaforisku valodu, nosaucot Microsoft par "dedzinātāju, kas pārdod ugunsdzēsības pakalpojumus saviem upuriem".
    • Vēstulē apgalvots, ka Microsoft noklusējuma konfigurācijas (t. i., mantoto sistēmu iespējošana, nedroša šifrēšana pēc noklusējuma, saudzīgas paroļu politikas) laika gaitā ir vājinājušas pamata aizsardzību daudzās organizācijās, īpaši veselības aprūpes un kritiskās infrastruktūras jomā. Tiek ieteikts, ka nolaidība noklusējuma iestatījumos un konfigurācijā nav tikai IT problēma, bet gan valsts drošības problēma.

    Microsoft atbilde

    • Atzīšana, ka RC4 ir novecojis un ka Microsoft neiesaka tā izmantošanu "mūsu programmatūras izstrādē un dokumentācijā klientiem". Uzņēmums apgalvo, ka mazāk nekā 0,1% no tā datplūsmas joprojām izmanto RC4. Tomēr Microsoft arī pauž bažas, ka RC4 tūlītēja pilnīga atspējošana varētu radīt saderības problēmas ar esošajām vidēm.
  • Microsoft ir apņēmies pakāpeniski pārtraukt RC4 atbalstu, vienlaikus turpinot sniegt klientiem stingrus brīdinājumus un norādījumus. Turklāt Microsoft norāda, ka jauni AD domēni operētājsistēmā Windows Server 2025 pēc noklusējuma atspējos RC4 šifrēšanu.

    • Drošības riska novērtējums

    • Uzbrukuma virsma un kaskādes sekas: Ja programmatūras pārdevēji pēc noklusējuma atļauj vāju šifrēšanu vai vājas paroles politikas, tie nodrošina uzbrucējiem “vieglu izvēli”. Pat sistēmu administratori, kuri apzinās drošību, var mantot konfigurācijas, kas atļauj RC4 vai vājus akreditācijas datus, īpaši vidēs, kur nepārtrauktība un mantoto sistēmu saderība ir ļoti svarīga.
    • Ievainojamību izmantošanas veidi: Kerberoasting uzbrukumi nav spekulatīvi; tie ir zināmi, dokumentēti un veiksmīgi izmantoti vairākos datu noplūžu gadījumos. Kad pakalpojuma konta akreditācijas dati ir apdraudēti, uzbrucēji var pārvietoties uz sāniem, palielināt privilēģijas un piekļūt sensitīviem resursiem. Veselības aprūpes iestādēs tas var ietvert personas veselības datus, lietu interneta medicīnas ierīces un kritisko infrastruktūru.
    • Regulējošās un uzticēšanās sekas: Tā kā Microsoft ir dziļi iesakņojies daudzās kritiskās infrastruktūras un uzņēmumu vidēs, kļūmes drošības konfigurēšanā pēc noklusējuma automātiski pārceļ aizsardzības slogu uz organizācijām, kurām var trūkt zināšanu, resursu vai redzamības, lai atklātu šādas vājās vietas. Reputācijas kaitējums un atbildības risks ir ievērojams.

    Regulējošās sekas

    • Senatora Vaidena apgalvojums rada svarīgus jautājumus par produkta atbildību , noklusējuma drošības iestatījumiem un pārdevēja atbildību . Cik lielā mērā programmatūras pārdevējiem vajadzētu būt atbildīgiem par nedrošiem noklusējuma iestatījumiem?
    • Programmatūras drošības nolaidības gadījumā var tikt piemēroti tādi regulējoši rīki kā FTC pilnvaras izmeklēt “negodīgas vai maldinošas darbības vai praksi”. Ja tiks konstatēta Microsoft nolaidība, tas varētu radīt precedentu tam, kā plaši izmantotā programmatūrā tiek regulētas noklusējuma konfigurācijas, šifrēšanas standarti un paroļu prasības.
    • Pastāv arī plašāks normatīvs jautājums: drošība pēc noklusējuma salīdzinājumā ar drošību pēc izvēles . Vaidena nostāja nozīmē, ka noklusējuma iestatījumiem vajadzētu būt drošības pusē, nodrošinot augstāku paroles stiprumu, noraidot vājus kriptogrāfiskos algoritmus un iekļaujot drošas konfigurācijas, nevis kā izvēles pārslēgšanas iespējas.
  • Senatora Vaidena vēstule FTC izceļ kiberdrošības, regulējuma un korporatīvās atbildības saplūšanu. Ascension pārkāpums ir vairāk nekā viens incidents; tas kalpo kā gadījuma izpēte par to, kā plaši izmantotie programmatūras noklusējuma iestatījumi, vāji šifrēšanas standarti un novecojušo sistēmu saderība var apvienoties, lai izraisītu liela mēroga uzbrukumus kritiskajai infrastruktūrai.

    • Senatora Vaidena vēstule FTC izceļ kiberdrošības, regulējuma un korporatīvās atbildības saplūšanu. Ascension pārkāpums ir vairāk nekā viens incidents; tas kalpo kā gadījuma izpēte par to, kā plaši izmantotie programmatūras noklusējuma iestatījumi, vāji šifrēšanas standarti un novecojušo sistēmu saderība var apvienoties, lai izraisītu liela mēroga uzbrukumus kritiskajai infrastruktūrai.

    Tā kā Microsoft sāk pakāpeniski pārtraukt lietot nedrošus šifrus un publicēt vadlīnijas, galvenais jautājums joprojām ir par to, vai regulatīvie mehānismi pieprasīs ātrākas izmaiņas, ieviesīs labākus noklusējuma iestatījumus un sauks pārdevējus pie atbildības par riska nodrošināšanu. Šis jautājums ir pelnījis rūpīgu izpēti — ne tikai no drošības pētnieku, bet arī regulatoru, uzņēmumu klientu un plašas sabiedrības puses.

    Notiek ielāde...