Rabatttilbud for flere lisenser
Datasikkerhet Senator Wyden presser på for FTC-etterforskning av...

Senator Wyden presser på for FTC-etterforskning av Microsofts sårbarheter med løsepengevirus.

Med Sandos i Datasikkerhet
Oversett til:

Den amerikanske senatoren Ron Wyden har formelt oppfordret den føderale handelskommisjonen (FTC) til å granske Microsoft for det han beskriver som «grov uaktsomhet innen nettsikkerhet» etter et ransomware-angrep på helseleverandøren Ascension. Senatorens bekymring dreier seg om hvordan Microsofts standard programvarekonfigurasjoner angivelig utsatte kritiske infrastrukturnettverk for angrep.

Utløseren: Oppstigningsbruddet og tekniske sårbarheter

  • Hendelsesoversikt: I fjor ble Ascension, et stort helsevesen, rammet av et ransomware-angrep utført av gruppen kjent som Black Basta , som rammet nesten 5,6 millioner individer . Innbruddet involverte datatyveri, samt forstyrrelser i elektroniske helsejournaler.
  • Initial Vector: En entreprenør som jobbet for Ascension klikket på en ondsinnet lenke oppdaget via Microsofts Bing-søkemotor. Dette klikket utløste kjedereaksjoner som tillot angripere å utnytte usikre standardinnstillinger i Microsoft-programvare.
  • Standard programvaresvakhet: I følge senatorens brev inneholder Microsofts programvare farlig usikre standardinnstillinger. Et sentralt problem er støtte for RC4-kryptering i Kerberos-autentiseringsprotokollen. RC4 er en eldre kryptering som kryptografisk forskning anser som usikker. Selv om den er avskrevet i mange moderne systemer, forble den aktivert som standard i Microsofts tilfelle. Dette tillot angripere å bruke en teknikk kjent som Kerberoasting for å hente ut tjenestekontolegitimasjon fra Active Directory.

Tekniske spesifikasjoner: Kerberoasting, standardchiffer og utnyttbare svakheter

  • Kerberoasting forklart: I et Active Directory-miljø ber tjenestekontoer med Service Principal Names (SPN-er) om Kerberos-billetter. Hvis disse billettene er kryptert med svake chiffer som RC4, kan en angriper få tak i billetten og deretter utføre offline-angrep (f.eks. brute force eller kryptanalyse) for å gjenopprette tjenestekontoens klartekstlegitimasjon eller hemmeligheter. I dette tilfellet hevder Wydens kontor at bruddet brukte disse RC4-beskyttede billettene.
  • RC4-saker: RC4 (Rivest Cipher 4), en strømchiffer utviklet på slutten av 1980-tallet, har i flere tiår vært kjent for å ha sårbarheter – skjevheter i nøkkelstrømmen og mottakelighet for gjenoppretting av klartekst. Standardiseringsorganer (f.eks. IETF) har forbudt bruk i sikre kanaler, spesielt TLS, siden midten av 2010-tallet på grunn av disse feilene. Microsoft inkluderte fortsatt støtte for RC4 i Kerberos som standard, noe Wyden sier «unødvendig eksponerer» kunder når svake passord er i bruk.
  • Passordstyrke og tjenestekontoer: Senatoren fremhever også at Microsoft ikke håndhever sterke passordregler (f.eks. minimum 14 tegn, tilfeldig genererte passord) for tjenestekontoer, og det krever heller ikke bruk av sterkere krypteringskoder (AES-128 eller AES-256) for Kerberos-tjenestebillettkryptering når SPN-er er involvert. Disse svake reglene, kombinert med svak standardkryptering, forsterker risikoen for kompromittering av legitimasjon.
  • Tiltak Microsoft anbefaler: Som svar på Wydens brev har Microsoft publisert veiledning og sagt at de planlegger å fase ut bruken av RC4. De skisserte også trinn som bruk av Group Administrated Service Accounts (gMSA) eller Delegated Administrated Service Accounts (dMSA), revisjon av kontoer med SPN-er, oppdatering av billettkrypteringsalgoritmer og angivelse av sterke, tilfeldig genererte passord for privilegerte kontoer. Microsoft opplyste videre at nye Active Directory-domener som bruker Windows Server 2025 vil ha RC4 deaktivert som standard fra og med første kvartal 2026.

    • Påstander om regulatoriske forhold og retningslinjer

    • Senator Wydens kritikk går lenger enn et enkelt brudd. I sitt fire sider lange brev til FTC-formann Andrew Ferguson, fremstiller han Microsoft som å ha et systemisk problem: en «kultur av uaktsom cybersikkerhet» forsterket av deres nærmest monopol på bedriftsoperativsystemer. Wyden bruker skarpt metaforisk språk og kaller Microsoft for «en brannstifter som selger brannslokkingstjenester til ofrene sine».
    • Brevet hevder at Microsofts standardkonfigurasjoner (dvs. aktivering av eldre, usikker kryptering som standard, lempelige passordregler) over tid har svekket grunnleggende beskyttelse i mange organisasjoner – spesielt innen helsevesen og kritisk infrastruktur. Antydningen er at uaktsomhet i standarder og konfigurasjon ikke bare er et IT-problem, men et nasjonalt sikkerhetsproblem.

    Microsofts svar

    • En erkjennelse av at RC4 er utdatert , og at Microsoft fraråder bruken av den «i hvordan vi utvikler programvaren vår og i dokumentasjonen vår til kundene». Selskapet hevder at mindre enn 0,1 % av trafikken fortsatt bruker RC4. Microsoft uttrykker imidlertid også bekymring for at fullstendig deaktivering av RC4 umiddelbart kan forårsake kompatibilitetsproblemer med eksisterende miljøer.
  • Microsoft har forpliktet seg til gradvis å eliminere RC4-støtte, samtidig som de fortsetter å gi sterke advarsler og veiledning til kundene. I tillegg bemerker Microsoft at nye AD-domener i Windows Server 2025 som standard vil deaktivere RC4-kryptering.

    • Vurdering av sikkerhetsrisiko

    • Angrepsflate og kaskaderende konsekvenser: Når programvareleverandører tillater svak kryptering som standard eller svake passordregler, gir de angripere et «enkelt valg». Selv systemadministratorer som er sikkerhetsbevisste kan arve konfigurasjoner som tillater RC4 eller svake legitimasjonsdetaljer, spesielt i miljøer der kontinuitet og eldre kompatibilitet er høyt verdsatt.
    • Sårbarhetsutnyttelser: Kerberoasting-angrep er ikke spekulative; de er kjente, dokumenterte og har blitt brukt med hell i flere sikkerhetsbrudd. Når tjenestekontoens legitimasjon er kompromittert, kan angripere bevege seg sidelengs, eskalere privilegier og få tilgang til sensitive ressurser. I helsevesenet kan dette inkludere personlige helsedata, medisinsk utstyr for IoT og kritisk infrastruktur.
    • Reguleringsmessige og tillitsmessige implikasjoner: Ettersom Microsoft er dypt forankret i mange kritiske infrastruktur- og bedriftsmiljøer, flytter feil i konfigureringen av sikkerhet som standard automatisk byrden av forsvaret til organisasjoner som kanskje mangler ekspertise, ressurser eller synlighet for å oppdage slike svakheter. Omdømmeskaden og ansvarsrisikoen er betydelig.

    Reguleringsmessige implikasjoner

    • Påstanden fra senator Wyden reiser viktige spørsmål om produktansvar , standard sikkerhetsinnstillinger og leverandøransvar . I hvilken grad bør programvareleverandører holdes ansvarlige for usikre standardinnstillinger?
    • Reguleringsverktøy som FTCs myndighet til å undersøke «urimelig eller villedende handling eller praksis» kan bli brukt på forsømmelse av programvaresikkerhet. Hvis Microsoft blir funnet uaktsomt, kan dette sette en presedens for hvordan standardkonfigurasjoner, krypteringsstandarder og passordkrav reguleres i mye brukt programvare.
    • Det finnes også et bredere normativt spørsmål: sikker som standard kontra sikker som valg . Wydens posisjon antyder at standardinnstillinger bør være på sikkerhetssiden, med høyere passordstyrke, avskrivning av svake kryptografiske algoritmer og innebygde sikre konfigurasjoner – ikke som valgfrie vekslere.
  • Senator Wydens brev til FTC fremhever en sammensmelting av cybersikkerhet, regulering og bedriftsansvar. Ascension-bruddet er mer enn én enkelt hendelse; det fungerer som en casestudie i hvordan mye brukte programvarestandarder, svake krypteringsstandarder og eldre kompatibilitet kan kombineres for å utløse storskala angrep på kritisk infrastruktur.

    • Senator Wydens brev til FTC fremhever en sammensmelting av cybersikkerhet, regulering og bedriftsansvar. Ascension-bruddet er mer enn én enkelt hendelse; det fungerer som en casestudie i hvordan mye brukte programvarestandarder, svake krypteringsstandarder og eldre kompatibilitet kan kombineres for å utløse storskala angrep på kritisk infrastruktur.

    Etter hvert som Microsoft begynner å fase ut usikre chiffer og publisere veiledning, gjenstår det sentrale spørsmålet om regulatoriske mekanismer vil kreve raskere endringer, håndheve bedre standardinnstillinger og holde leverandører ansvarlige for å muliggjøre risiko. Denne saken fortjener nøye gransking – ikke bare fra sikkerhetsforskere, men også fra regulatorer, bedriftskunder og allmennheten.

    Laster inn...