Sebut Harga Diskaun Berbilang Lesen
Keselamatan Komputer Senator Wyden Menolak Penyiasatan FTC ke dalam Microsoft...

Senator Wyden Menolak Penyiasatan FTC ke dalam Microsoft Atas Kerentanan Perisian Ransomware

Menjelang Sandos pada Keselamatan Komputer
Terjemahkan ke

Senator AS Ron Wyden secara rasmi memanggil Suruhanjaya Perdagangan Persekutuan (FTC) untuk menyiasat Microsoft atas perkara yang disifatkannya sebagai "kecuaian keselamatan siber kasar" berikutan serangan perisian tebusan ke atas penyedia penjagaan kesihatan Ascension. Kebimbangan senator itu tertumpu pada bagaimana konfigurasi perisian lalai Microsoft didakwa mendedahkan rangkaian infrastruktur kritikal untuk diserang.

Pencetus: Pelanggaran Kenaikan dan Kerentanan Teknikal

  • Gambaran Keseluruhan Insiden: Tahun lepas, Ascension, sistem penjagaan kesihatan utama, telah dilanda serangan perisian tebusan yang dilakukan oleh kumpulan yang dikenali sebagai Black Basta , yang menjejaskan hampir 5.6 juta individu . Pelanggaran itu melibatkan kecurian data, serta gangguan kepada rekod kesihatan elektronik.
  • Vektor Permulaan: Seorang kontraktor yang bekerja untuk Ascension mengklik pada pautan berniat jahat yang ditemui melalui enjin carian Bing Microsoft. Klik ini menyebabkan tindak balas berantai yang membenarkan penyerang mengeksploitasi lalai tidak selamat dalam perisian Microsoft.
  • Kelemahan Perisian Lalai: Menurut surat Senator, perisian Microsoft termasuk tetapan lalai yang berbahaya dan tidak selamat. Satu isu utama ialah sokongan untuk penyulitan RC4 dalam protokol pengesahan Kerberos. RC4 ialah sifir warisan yang dianggap tidak selamat oleh penyelidikan kriptografi. Walaupun tidak digunakan dalam banyak sistem moden, dalam kes Microsoft ia kekal didayakan secara lalai. Ini membenarkan penyerang menggunakan teknik yang dikenali sebagai Kerberoasting untuk mengekstrak bukti kelayakan akaun perkhidmatan daripada Active Directory.

Spesifikasi Teknikal: Kerberoasting, Sifir Lalai dan Kelemahan Boleh Dieksploitasi

  • Kerberoasting Dijelaskan: Dalam persekitaran Active Directory, akaun perkhidmatan dengan Nama Prinsipal Perkhidmatan (SPN) meminta tiket Kerberos. Jika tiket tersebut disulitkan menggunakan sifir lemah seperti RC4, penyerang boleh mendapatkan tiket itu, kemudian melakukan serangan luar talian (cth, kekerasan atau analisis kriptografi) untuk memulihkan bukti kelayakan atau rahsia teks biasa akaun perkhidmatan. Dalam kes ini, pejabat Wyden mendakwa pelanggaran itu menggunakan tiket yang dilindungi RC4 ini.
  • Perkara RC4: RC4 (Rivest Cipher 4), sifir strim yang dibangunkan pada penghujung 1980-an, telah diketahui selama beberapa dekad mempunyai kelemahan—bias dalam aliran utama dan kerentanan kepada pemulihan teks biasa. Badan piawai (cth, IETF) telah melarang penggunaannya dalam saluran selamat, terutamanya TLS, sejak pertengahan 2010-an kerana kelemahan tersebut. Microsoft masih menyertakan sokongan untuk RC4 dalam Kerberos secara lalai, yang Wyden menyatakan "tidak perlu mendedahkan" pelanggan apabila kata laluan yang lemah sedang digunakan.
  • Kekuatan Kata Laluan & Akaun Perkhidmatan: Senator juga menyerlahkan bahawa Microsoft tidak menguatkuasakan dasar kata laluan yang kukuh (cth, minimum 14 aksara, kata laluan yang dijana secara rawak) untuk akaun perkhidmatan, dan juga tidak memerlukan penggunaan sifir penyulitan yang lebih kukuh (AES-128 atau AES-256) untuk penyulitan tiket perkhidmatan Kerberos apabila SPN terlibat. Dasar yang lemah ini, digabungkan dengan penyulitan lalai yang lemah, meningkatkan risiko kompromi kelayakan.
  • Mitigasi Microsoft Syor: Sebagai tindak balas kepada surat Wyden, Microsoft telah menerbitkan panduan dan berkata ia merancang untuk menghentikan penggunaan RC4 secara berperingkat. Ia juga menggariskan langkah-langkah seperti penggunaan Akaun Perkhidmatan Terurus Kumpulan (gMSA) atau Akaun Perkhidmatan Terurus Diwakilkan (dMSA), pengauditan akaun dengan SPN, mengemas kini algoritma penyulitan tiket dan menetapkan kata laluan yang kukuh dan dijana secara rawak untuk akaun istimewa. Microsoft seterusnya mendedahkan bahawa domain Active Directory baharu menggunakan Windows Server 2025 akan dilumpuhkan RC4 secara lalai bermula pada Q1 2026.

    • Tuduhan Peraturan dan Dasar

    • Kritikan Senator Wyden melangkaui pelanggaran tunggal. Dalam surat empat muka suratnya kepada Pengerusi FTC Andrew Ferguson, beliau membingkai Microsoft sebagai mempunyai masalah sistemik: "budaya keselamatan siber cuai" ditambah dengan hampir monopoli ke atas sistem pengendalian perusahaan. Wyden menggunakan bahasa metafora yang tajam, memanggil Microsoft serupa dengan "pembakar yang menjual perkhidmatan memadam kebakaran kepada mangsa mereka."
    • Surat itu menegaskan bahawa konfigurasi lalai Microsoft (iaitu, mendayakan warisan, penyulitan tidak selamat secara lalai, dasar kata laluan yang lembut) telah melemahkan perlindungan garis dasar dari masa ke masa merentas banyak organisasi—terutamanya dalam penjagaan kesihatan dan infrastruktur kritikal. Cadangannya ialah kecuaian dalam lalai dan konfigurasi bukan hanya isu IT tetapi kebimbangan keselamatan negara.

    Maklum Balas Microsoft

    • Pengakuan bahawa RC4 adalah kuno dan Microsoft tidak menggalakkan penggunaannya "dalam cara kami merekayasa perisian kami dan dalam dokumentasi kami kepada pelanggan." Syarikat itu mendakwa bahawa kurang daripada 0.1% trafiknya masih menggunakan RC4. Walau bagaimanapun, Microsoft juga menyatakan kebimbangan bahawa melumpuhkan sepenuhnya RC4 serta-merta boleh menyebabkan isu keserasian dengan persekitaran sedia ada.
  • Microsoft telah komited untuk menghapuskan sokongan RC4 secara beransur-ansur, sambil terus memberikan amaran dan bimbingan yang kuat kepada pelanggan. Selain itu, Microsoft menyatakan bahawa domain AD baharu dalam Windows Server 2025 akan, secara lalai, melumpuhkan penyulitan RC4.

    • Penilaian Risiko Keselamatan

    • Permukaan Serangan dan Akibat Lata: Apabila vendor perisian membenarkan penyulitan yang lemah secara lalai atau dasar kata laluan yang lemah, mereka memberikan "pilihan mudah" kepada penyerang. Malah pentadbir sistem yang menyedari keselamatan mungkin mewarisi konfigurasi yang membenarkan RC4 atau membenarkan kelayakan yang lemah, terutamanya dalam persekitaran yang kesinambungan dan keserasian warisan sangat dihargai.
    • Eksploitasi Kerentanan: Serangan Kerberoasting bukan spekulatif; ia diketahui, didokumenkan dan telah digunakan dengan jayanya dalam pelbagai insiden pelanggaran. Setelah bukti kelayakan akaun perkhidmatan terjejas, penyerang boleh bergerak ke sisi, meningkatkan keistimewaan dan mengakses aset sensitif. Dalam tetapan penjagaan kesihatan, itu boleh termasuk data kesihatan peribadi, peranti perubatan IoT dan infrastruktur kritikal.
    • Implikasi Pengawalseliaan dan Kepercayaan: Memandangkan Microsoft tertanam secara mendalam dalam banyak infrastruktur kritikal dan persekitaran perusahaan, kegagalan dalam mengkonfigurasi keselamatan secara lalai secara automatik mengalihkan beban pertahanan kepada organisasi yang mungkin kekurangan kepakaran, sumber atau keterlihatan untuk mengesan kelemahan tersebut. Kerosakan reputasi dan risiko liabiliti adalah besar.

    Implikasi Peraturan

    • Dakwaan Senator Wyden menimbulkan persoalan penting tentang liabiliti produk , tetapan selamat lalai dan tanggungjawab vendor . Sejauh manakah vendor perisian harus bertanggungjawab untuk lalai yang tidak selamat?
    • Alat kawal selia seperti kuasa FTC untuk menyiasat "tindakan atau amalan yang tidak adil atau menipu" boleh digunakan untuk pengabaian keselamatan perisian. Jika Microsoft didapati cuai, ini boleh menetapkan duluan untuk cara konfigurasi lalai, piawaian penyulitan dan keperluan kata laluan dikawal dalam perisian yang digunakan secara meluas.
    • Terdapat juga isu normatif yang lebih luas: selamat-oleh-lalai vs. selamat-oleh-pilihan . Kedudukan Wyden membayangkan bahawa lalai harus tersilap di sisi keselamatan, dengan kekuatan kata laluan yang lebih tinggi, penamatan algoritma kriptografi yang lemah dan konfigurasi selamat yang dipanggang—bukan sebagai togol pilihan.
  • Surat Senator Wyden kepada FTC menyerlahkan pertemuan keselamatan siber, peraturan dan akauntabiliti korporat. Pelanggaran Ascension adalah lebih daripada satu kejadian; ia berfungsi sebagai kajian kes tentang cara lalai perisian yang digunakan secara meluas, piawaian penyulitan yang lemah dan keserasian warisan boleh digabungkan untuk mencetuskan serangan berskala besar ke atas infrastruktur kritikal.

    • Surat Senator Wyden kepada FTC menyerlahkan pertemuan keselamatan siber, peraturan dan akauntabiliti korporat. Pelanggaran Ascension adalah lebih daripada satu kejadian; ia berfungsi sebagai kajian kes tentang cara lalai perisian yang digunakan secara meluas, piawaian penyulitan yang lemah dan keserasian warisan boleh digabungkan untuk mencetuskan serangan berskala besar ke atas infrastruktur kritikal.

    Apabila Microsoft mula menghapuskan sifir yang tidak selamat dan menerbitkan panduan secara berperingkat, persoalan utama kekal sama ada mekanisme kawal selia akan menuntut perubahan yang lebih pantas, menguatkuasakan lalai yang lebih baik dan memastikan vendor bertanggungjawab untuk membolehkan risiko. Perkara ini patut diteliti dengan teliti—bukan sahaja daripada penyelidik keselamatan, tetapi daripada pengawal selia, pelanggan perusahaan dan orang awam secara amnya.

    Memuatkan...